Tiện ích mở rộng Chrome bị xâm phạm chèn mã độc hại

Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.

Tiện ích Cyberhaven bị chèn mã độc

Các nhà nghiên cứu tại Cyberhaven, một công ty phòng chống thất thoát dữ liệu đến từ Mỹ, mới đây đã lên tiếng cảnh báo khách hàng của mình về một vụ vi phạm dữ liệu vào ngày 24/12 sau một cuộc tấn công lừa đảo thành công vào tài khoản quản trị viên của cửa hàng Google Chrome.

Trong số các khách hàng của Cyberhaven có Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart và Kirkland & Ellis.

Tin tặc đã chiếm đoạt tài khoản của nhân viên và phát hành phiên bản độc hại (24.10.4) của tiện ích mở rộng Cyberhaven, trong đó có mã có thể đánh cắp các phiên xác thực và cookie vào tên miền của kẻ tấn công (cyberhavenext[.]pro).

Nhóm an ninh nội bộ của Cyberhaven đã xóa gói phần mềm độc hại này trong vòng một giờ kể từ khi phát hiện, công ty cho biết trong email gửi cho khách hàng.

Phiên bản sạch của tiện ích mở rộng là v24.10.5 đã được phát hành vào ngày 26/12. Ngoài việc nâng cấp lên phiên bản mới nhất, người dùng tiện ích mở rộng Cyberhaven Chrome được khuyến nghị thu hồi mật khẩu không phải là FIDOv2, thay đổi tất cả mã thông báo API và xem lại nhật ký trình duyệt để đánh giá hoạt động độc hại.

Nhiều tiện ích mở rộng khác của Chrome bị xâm phạm

Sau tiết lộ của Cyberhaven, nhà nghiên cứu Jaime Blasco của hãng bảo mật Nudge Security (Mỹ) đã tiến hành điều tra sâu hơn, chuyển hướng từ địa chỉ IP và tên miền đã đăng ký của kẻ tấn công.

Theo Blasco, đoạn mã độc hại cho phép tiện ích mở rộng nhận lệnh từ kẻ tấn công cũng được đưa vào cùng thời điểm trong các tiện ích mở rộng khác của Chrome bao gồm:

- Internxt VPN: VPN miễn phí được mã hóa, không giới hạn để duyệt web an toàn. (10.000 người dùng).

- VPNCity: VPN tập trung vào quyền riêng tư với thuật toán mã hóa AES 256-bit và phạm vi phủ sóng máy chủ toàn cầu (50.000 người dùng).

- Uvoice: Dịch vụ dựa trên phần thưởng để kiếm điểm thông qua khảo sát và cung cấp dữ liệu sử dụng PC (40.000 người dùng).

- ParrotTalks: Công cụ tìm kiếm thông tin chuyên dùng về văn bản và ghi chú (40.000 người dùng).

Blasco đã tìm thấy nhiều tên miền trỏ đến các nạn nhân tiềm năng khác nhưng chỉ có các phần mở rộng ở trên được xác nhận là có chứa đoạn mã độc hại. Người dùng các tiện ích mở rộng này được khuyến cáo xóa chúng khỏi trình duyệt hoặc nâng cấp lên phiên bản an toàn được phát hành sau ngày 26/12.

Nếu không chắc chắn, tốt hơn hết là gỡ cài đặt tiện ích mở rộng, đặt lại mật khẩu tài khoản quan trọng, xóa dữ liệu trình duyệt và khôi phục cài đặt trình duyệt về mặc định ban đầu.