تعرضت بعض الإضافات الشرعية لمتصفح كروم لهجمة سيبرانية، مما أدى إلى تعرض بيانات المستخدمين الحساسة

تعرضت خمسة على الأقل من إضافات جوجل كروم لهجوم إلكتروني مُنسق، أدى إلى حقنها برمز خبيث مُصمم لسرقة المعلومات الحساسة للمستخدمين، كما أفادت Bleeping Computer.

كشفت الثغرة لأول مرة في الرابع والعشرين من ديسمبر عن طريق Cyberhaven، وهي شركة لمنع فقدان البيانات، التي أعلمت عملائها بعد أن استهدف هجوم الاحتيال الإلكتروني بنجاح حساب مشرف لمتجر Chrome Web.

أكد فريقنا وقوع هجوم إلكتروني خبيث في ليلة عيد الميلاد، تأثرت به امتدادات كروم الخاصة بـ Cyberhaven. هذه هي تدوينتنا حول الحادث والخطوات التي نتخذها: https://t.co/VTBC73eWda

فريق الأمن لدينا متاح 24/7 لمساعدة العملاء المتأثرين و…

— Cyberhaven (@CyberhavenInc) 27 ديسمبر 2024

توضح Bleeping Computer أن الهجوم سمح للقراصنة بالسيطرة على حساب المشرف ونشر نسخة ضارة من إضافة Cyberhaven. هذا الإصدار يتضمن رمزًا يمكنه سرقة الجلسات المصادق عليها والكوكيز، وإرسالها إلى نطاق المهاجم.

من بين العملاء الذين تأثروا بالاختراق في Cyberhaven هم شركات كبيرة مثل Snowflake وMotorola وCanon وReddit وKirkland & Ellis. قام فريق الأمن الداخلي في Cyberhaven بإزالة الإضافة الخبيثة خلال ساعة من اكتشافها، كما أفادت Bleeping Computer.

تعزو Cyberhaven الهجوم إلى بريد إلكتروني تصيدي، مشيرة في تحليل تقني منفصل إلى أن الكود بدا مصمماً بشكل خاص لاستهداف حسابات إعلانات فيسبوك.

لقد أشار موقع TechCrunch إلى أن متجر Chrome Web يحتوي على حوالي 400,000 مستخدم من الشركات لإضافة Cyberhaven. وعندما استفسر TechCrunch، رفضت Cyberhaven الكشف عن عدد العملاء المتأثرين الذين أعلمتهم بالاختراق.

وكرد فعل، تم نشر نسخة نظيفة من الإضافة في السادس والعشرين من ديسمبر. وقد أوصت Cyberhaven مستخدميها بالترقية إلى هذا الإصدار الأخير واتخاذ احتياطات إضافية، مثل التحقق من أن تم تحديث الإضافة إلى الإصدار 24.10.5 أو أحدث.

بالإضافة إلى ذلك، تنصح Cyberhaven بإلغاء وتغيير أي كلمات مرور لا تستخدم FIDOv2، ومراجعة سجلات المتصفح الخاص بك لأي نشاط مشبوه.

Bleeping Computer تشير إلى أن الحادث تعدى على ما بعد امتداد Cyberhaven، حيث كشفت التحقيقات الأخرى أن العديد من الامتدادات الأخرى لـ Chrome تأثرت أيضًا. تمكن الباحث في Nudge Security، خايمي بلاسكو، من تتبع أصول الهجوم عن طريق تحليل عناوين IP والمجالات التابعة للمهاجم.

بالنسبة للاختراق الذي تعرض له امتداد Cyberhaven على متصفح كروم، أعتقد أن هناك امتدادات أخرى تأثرت أيضا. من خلال التحويل بواسطة عنوان الـ IP، هناك المزيد من النطاقات التي تم إنشاؤها في نفس الفترة الزمنية والتي تحلل إلى نفس عنوان الـ IP مثل cyberhavenext[.]pro (متابعة)

— جيمي بلاسكو (@jaimeblascob) 27 ديسمبر، 2024

أكدت بلاسكو أنه تم حقن جزء من الكود الخبيث في العديد من الإضافات في نفس الوقت تقريبًا، كما ذكرته Bleeping Computer.

وتشمل هذه Internxt VPN، الذي يمتلك 10,000 مستخدم، وVPNCity، وهو خدمة VPN تركز على الخصوصية بها 50,000 مستخدم، وUvoice، وهو خدمة تقدم مكافآت لها 40,000 مستخدم، وParrotTalks، وهو أداة لتدوين الملاحظات لها 40,000 مستخدم.

يقول موقع Bleeping Computer أنه بينما تعرف بلاسكو على ضحايا محتملين آخرين، فقد تم التأكد فقط من أن الإضافات المذكورة أعلاه تحتوي على الرمز الخبيث. يُطلب من مستخدمي هذه الإضافات المتأثرة إما إزالتها أو التأكد من تحديثها إلى النسخ الآمنة التي تم إصدارها بعد 26 ديسمبر.

بالنسبة لأولئك الذين ليسوا متأكدين من أمان إضافاتهم، يُوصى بإلغاء تثبيت الإضافات المتأثرة، وإعادة تعيين كلمات المرور الهامة، ومسح بيانات المتصفح، واستعادة إعدادات المتصفح إلى القيم الافتراضية.