Цепочка поставок: OAuth-атака на Chrome-расширения Google

В конце 2024 года была зафиксирована масштабная атака на цепочку поставок, нацеленная на разработчиков расширений для Chrome. Злоумышленники провели серию фишинговых рассылок, в результате которых более 2,6 миллиона пользователей оказались затронутыми через скомпрометированные расширения. Эта кампания наглядно демонстрирует, как уязвимости в процессе авторизации сторонних приложений могут привести к массовой компрометации и кражам конфиденциальных данных.

Как происходила атака

Атакующие отправляли разработчикам электронные письма с просьбой перейти по ссылке на легитимную страницу входа в Google. После авторизации пользователю предлагалось одобрить вредоносное Google OAuth приложение под названием Privacy Policy Extension. Приложение запрашивало доступ к API Chrome Web Store, в частности к области www.googleapis.com/auth/chromewebstore. Получив согласие, злоумышленники получили права изменять и публиковать версии расширений от имени их легитимных разработчиков.

Распространённые цели компрометированных расширений — сбор и эксфильтрация конфиденциальных данных. В описываемой кампании акцент делался на информации учетных записей Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) Ads, включая сеансовые cookie и токены аутентификации, что позволило получать доступ к рекламным аккаунтам и управлять ими.

Масштаб и последствия

• Затронуто более 2,6 млн пользователей — через распространение вредоносных версий расширений.
• Компрометация расширений дала злоумышленникам возможность публиковать обновления от имени легитимных разработчиков, что снизило вероятность обнаружения со стороны конечных пользователей.
• Кража сеансовых cookie и токенов позволяла получить долгосрочный доступ к целевым сервисам (в примере — Facebook Ads).

Почему атака сработала: роль OAuth и прав доступа

Критический фактор — первоначальная авторизация стороннего приложения, запрашивающего «высокорисковые» разрешения. Google выделяет области (scopes), которые считаются high-risk, например разрешения на чтение, изменение и отправку писем или файлов. Такие области предоставляют приложениям широкий контроль над данными и действиями пользователей и поэтому представляют особую угрозу.

Организации могут и должны ограничивать доступ к высоким правам для сторонних приложений (например, для сервисов Gmail, Google Drive, Google Chat) и контролировать одобрение новых приложений внутри Google Workspace. Если приложение ранее не было одобрено организацией и запрашивает широкие права — это потенциально опасно.

Обнаружение компрометации и немедленные меры

Если обнаружен вредоносный grant согласия OAuth, важны быстрые и скоординированные действия по устранению последствий. Рекомендуемые шаги:

• Немедленно отозвать авторизацию вредоносного приложения для всех затронутых аккаунтов.
• Откатить или удалить скомпрометированные версии расширений из Chrome Web Store и выпустить безопасные обновления от подлинных разработчиков.
• Сбросить сессии и токены аутентификации, особенно для сервисов, где были обнаружены утечки (например, Facebook Ads).
• Провести форензик-расследование аудиторских логов и активностей, чтобы оценить масштабы доступа и возможный эксфильтрованный объём данных.

Проактивный поиск угроз и аудит

Проактивные методы охоты на угрозы и аудит помогают выявлять подобные атаки на ранней стадии. Практики, которые стоит внедрить:

• Запрос внешних приложений, на которые согласилось минимальное количество пользователей — это позволяет выявлять уникальные и потенциально вредоносные установки.
• Проведение детального аудита всех авторизованных приложений: проверка их названий, издателей и запрашиваемых permissions. Обращайте внимание на приложения с чрезмерно широкими правами, которые не соответствуют их ожидаемой функциональности.
• Идентификация необычных паттернов: приложения, авторизованные ограниченным числом пользователей, или такие, что внезапно начинают использовать высокорисковые права.
• Регулярный мониторинг activity и audit logs на предмет поведенческих аномалий — например, бездействующее приложение, внезапно совершившее операции с high-risk permissions.

Рекомендации для администраторов Google Workspace

• Ограничьте доступ к high-risk scopes для сторонних приложений и внедрите процесс предварительного одобрения сервисов внутри организации.
• Обучайте разработчиков и сотрудников распознавать фишинговые письма и подозрительные запросы на авторизацию приложений.
• Внедрите правила для автоматического оповещения при появлении новых внешних приложений с высокой степенью риска.
• Периодически пересматривайте список авторизованных приложений и выполняйте ревизию разрешений.
• Используйте многофакторную аутентификацию и политики управления сессиями для минимизации риска долгосрочного доступа в случае компрометации токенов.

Вывод

Атака с использованием поддельного Google OAuth приложения — наглядный пример того, как злоумышленники обходят традиционные барьеры безопасности, действуя через доверие к процессу авторизации. Для защиты от таких сложных атак на цепочку поставок организациям нужен комплекс мер: ограничение прав, проактивный аудит, мониторинг логов и быстрая реакция на инциденты. Только сочетание технических и организационных мер способно снизить риски компрометации в экосистеме Google Workspace.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.