Масштабная атака на разработчиков расширений Chrome: угроза под контролем

Недавняя атака на разработчиков расширений для браузера Chrome привлекла внимание экспертов в области кибербезопасности. В публикации компании Cyberhaven приводятся рекомендаций, как организациям обнаружить эту угрозу и ответить на нее.

Поддельное расширение и фишинг

24 декабря 2024 года Cyberhaven выявила поддельную версию своего расширения в интернет-магазине Chrome. Расследование показало, что один из сотрудников компании стал жертвой фишинговой атаки, что открыло доступ к интернет-магазину Google Chrome.

Поддельное расширение содержало вредоносный код, который позволял:

• осуществлять командно-диспетчерскую связь;
• красть учетные данные.

Масштабная кампания по атаке

Дальнейшее расследование, проведенное командой охотников Axon, установило, что данная атака была частью более широкой кампании, нацеленной на разработчиков расширений для Chrome и продолжающейся как минимум на протяжении семи месяцев.

Согласно новым данным, хакеры начали эту кампанию с фишинговой атаки, выдавшей себя за уведомления от Google. Разработчиков информировали о нарушениях политики, что приводило их на вредоносные страницы согласия OAuth.

Рекомендации для организаций

Атака оставалась незамеченной длительное время. Эксперты по безопасности смогли идентифицировать множество вредоносных доменов и IP-адресов, связанных с этой атакой. В публикации Cyberhaven представлены индикаторы компрометации (IOCs) и специальные запросы для поиска угроз, которые помогут специалистам по безопасности выявлять и смягчать риски.

Организациям настоятельно рекомендуется:

• проявлять бдительность и проактивность;
• защищать свою конфиденциальную информацию и активы.

Киберугрозы остаются актуальной проблемой для всех участников цифрового пространства, и этот случай служит напоминанием о необходимости регулярного обновления методик защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.