Versi berbahaya dari Cyberhaven dan ekstensi Chrome lainnya telah dipublikasikan di Google Chrome Web Store sebagai bagian dari serangan rantai pasokan yang kemungkinan menargetkan pengguna iklan Facebook.
Ekstensi dari perusahaan keamanan data Cyberhaven telah disusupi. Setelah seorang karyawan menjadi korban serangan phishing dan memberikan izin kepada aplikasi OAuth berbahaya bernama “Privacy Policy Extension” untuk mengakses akun Chrome Web Store milik Cyberhaven.
Phishing ini tampaknya berasal dari Chrome Web Store, dengan pesan yang dikirimkan ke email dukungan terdaftar, mengklaim bahwa deskripsi ekstensi mengandung terlalu banyak kata kunci dan akan dihapus dari toko.
Setelah mengklik tautan dalam pesan, karyawan tersebut diarahkan melalui proses standar Google authorization dan tanpa sengaja memberikan izin kepada aplikasi pihak ketiga yang berbahaya untuk mengakses akun pengembang.
“Karyawan tersebut telah mengaktifkan Google Advanced Protection dan memiliki MFA (Multi-Factor Authentication) yang melindungi akunnya. Karyawan itu tidak menerima permintaan MFA dan kredensial Google karyawan tersebut tidak disusupi,” jelas Cyberhaven.
Penyerang kemudian menggunakan izin ini untuk mempublikasikan versi berbahaya dari ekstensi tersebut ke Chrome Web Store, yang tersedia untuk diunduh selama lebih dari 24 jam antara 25 Desember dan 26 Desember 2024.
Versi berbahaya 24.10.4, segera dihapus dari toko setelah serangan ditemukan dan digantikan dengan versi 24.10.5, yang telah bersih. Saat terdaftar di Chrome Web Store, versi berbahaya tersebut didistribusikan kepada pengguna yang memiliki fitur pembaruan otomatis diaktifkan.
Cyberhaven menyatakan, “Investigasi kami telah mengkonfirmasi bahwa tidak ada sistem Cyberhaven lainnya, termasuk proses CI/CD kami dan kunci penandatanganan kode, yang disusupi.”
Ekstensi berbahaya tersebut tampaknya menargetkan pengguna iklan Facebook.com, dengan mengumpulkan dan mengekstraksi token akses, ID pengguna, informasi akun melalui API Facebook, akun bisnis, dan informasi akun iklan.
“Selain itu, kode berbahaya tersebut menambahkan pendengar klik mouse untuk Facebook.com, sehingga dapat mengambil semua gambar ketika pengguna mengklik halaman terkait. Berdasarkan cara memproses gambar yang diambil, kode tersebut kemungkinan mencari kode QR untuk melewati captcha dan atau permintaan otorisasi 2FA”, kata Cyberhaven.
Cyberhaven telah mengumpulkan lebih dari $136 juta dan dinilai sebesar $488 juta ketika perusahaan tersebut mengumpulkan $88 juta dalam putaran pendanaan Seri C pada Juni 2024.
Dalam sebuah postingan LinkedIn, salah satu pendiri dan CTO Nudge Security, Jaime Blasco, mencatat bahwa ekstensi Chrome lainnya juga dikompromikan, dan pelaku ancaman membuat beberapa domain palsu dalam waktu singkat, semuanya dihosting pada alamat IP yang sama. Setidaknya lima ekstensi Chrome lainnya yang disusupi teridentifikasi, yaitu Internxt VPN, VPNCity, Uvoice, dan ParrotTalks.
Sumber:
https://www.securityweek.com/several-chrome-extensions-compromised-in-supply-chain-attack/
https://www.securityweek.com/how-exceptional-cisos-are-igniting-the-security-fire-in-their-development-team/
https://www.securityweek.com/solana-web3-js-library-backdoored-in-supply-chain-attack/