25+ Chrome-nettleserutvidelser hacket, 2,5 millioner brukere i fare

Hvorfor oss?

Nettkriminelle har iverksatt et storstilt angrep på populære Chrome-nettleserutvidelser, noe som potensielt kan kompromittere mer enn 2,5 millioner brukeres data.

I stedet for å bruke den populære taktikken med å lage falske utvidelser i Chrome Web Store, infiserer denne kampanjen legitime apper med ondsinnet kode.

Per 30. desember 2024 har minst 26 mye brukte utvidelser blitt infisert, noe som har ført til stjålne brukerdata, informasjonskapsler og til og med rapporter om kapring av økter med multifaktorautentisering.

Techopedia utforsker taktikken bak denne kampanjen, hvilke nettleserutvidelser som er berørt, og viktige tips for å beskytte deg selv og dataene dine.

Nøkkelpunkter

  • Et storstilt cyberangrep er rettet mot kjente Chrome-nettleserutvidelser, og minst 26 utvidelser er kompromittert.
  • Angrepet kan potensielt utsette over 2,5 millioner brukere for tyveri av data og legitimasjon.
  • Black hat-hackere retter seg mot utviklere for å laste inn skadelig kode i legitime utvidelser ved å utgi seg for å være Google Chrome Web Store Developer Support.
  • Antallet nettleserutvidelser som er utsatt for datainnbrudd, kan øke i løpet av de neste dagene.

Hvordan hackere retter seg mot utviklere for å laste inn ondsinnet kode i legitime utvidelser

Chrome Web Store er en fantastisk ressurs for nettleserutvidelser - men noen utvidelser har blitt kompromittert. (Skjermbildet)
Chrome Web Store er en fantastisk ressurs for nettleserutvidelser – men noen utvidelser har blitt kompromittert. (Skjermbildet)

Det California-baserte databeskyttelsesselskapet Cyberhaven var først ute med å bekrefte innbruddet, etterfulgt av rapporter om angrep sentrert rundt VPN og generative AI-baserte nettleserutvidelser.

Den 30. desember hadde trusselkampanjen påvirket minst 26 nettleserutvidelser som var installert av over 2,5 millioner brukere. Dette tallet kan fortsette å vokse i løpet av den kommende uken.

De ukjente nettkriminelle bak denne kampanjen retter seg utelukkende mot utviklere som jobber med Chrome Web Store.

I motsetning til andre angrep på nettleserutvidelser, der trusselaktører lager falske apper, infiserer denne kampanjen legitime apper med ondsinnet kode. Målet er å stjele brukerinformasjon i stor skala.

Det koordinerte cyberangrepet mot nettleserutvidelser, som begynte i midten av desember og fortsetter å utvikle seg, fungerer på en unik måte.

Cyberangrepet begynner med at black hat-hackere sender phishing-e-poster til selskaper som tilbyr nettleserutvidelser og deres utviklere. Disse e-postene utgir seg for å være fra Google Chrome Web Store Developer Support og villeder og presser utviklerne ved å feilaktig hevde at «utvidelsen deres står i overhengende fare for å bli fjernet» på grunn av «brudd på retningslinjene for utviklerprogrammet».

E-posten er et lokkemiddel for å lure utviklere til å gi fra seg sensitive data, som senere brukes til å laste inn ondsinnet kode i en legitim app for å stjele brukernes informasjonskapsler og tilgangstokener.

Hvilke nettleserutvidelser har blitt hacket?

Cybersikkerhetsforskere fra Secure Annex har listet opp følgende nettleserutvidelser som påvirket, og noen av dem har siden blitt oppdatert fra Chrome App Store:

  • VPNCity
  • Parrot Talks
  • Uvoice
  • Internxt VPN
  • Bookmark Favicon Changer
  • Castorus
  • Wayin AI
  • Søk Copilot AI-assistent for Chrome
  • VidHelper – Video Downloader
  • AI-assistent – ChatGPT og Gemini for Chrome
  • Vidnoz Flex – Videoopptaker og videodeling
  • TinaMind – Den GPT-4o-drevne AI-assistenten!
  • Bard AI-chat
  • Lesermodus
  • Primus (tidligere PADO)
  • Tackker – online keylogger-verktøy
  • AI Shop Buddy
  • Sorter etter eldste
  • Belønninger Søk Automator
  • Earny – opptil 20 % kontant tilbakebetaling
  • ChatGPT-assistent – smart søk
  • Tastaturhistorikkopptaker
  • E-postjeger
  • Visuelle effekter for Google Meet
  • Cyberhaven sikkerhetsutvidelse V3
  • GraphQL-nettverksinspektør
  • GPT 4 Sammendrag med OpenAI
  • Vidnoz Flex – Videoopptaker og videodeling
  • YesCaptcha-assistent

Det totale antallet brukere av disse nettleserutvidelsene er over 2,5 millioner mennesker. Antallet angrepne nettleserutvidelser kan øke i løpet av de neste dagene.

Analyse av den ondsinnede koden viste at C2-angriperkontrollerte servere brukes til å stjele data. I tillegg er det funnet et stort antall viderekoblinger til ondsinnede domener.

Cybersikkerhetsforskere prøver fortsatt å finne ut av det meste av den ondsinnede koden og hva den gjør, ettersom hackerne har tilslørt koden kraftig.

Det rapporteres om at trusselaktører også stjeler øktinformasjonskapsler i denne kampanjen for å omgå brukernes Google 2FA-økter.

Den ondsinnede koden i denne kampanjen omdirigerer brukere til falske og ondsinnede nettsteder gjennom overtakelse av søk og omdirigeringer. Dette kan føre til identitets- og legitimasjonstyveri, aktivitetssporing og ekstern kommandokjøring.

I bunn og grunn kan trusselaktører ta over brukernes nettlesere.

Sofistikert nettleserkapring

Det er foreløpig ukjent hvem som står bak denne bølgen av cyberangrep mot utviklere av nettleserutvidelser.

Etter hvert som teknikkene som angriperne bruker, fortsetter å utvikle seg, kan andre trusselaktører komme til og gripe muligheten.

Selv om mange av de berørte utviklerne rapporterte om phishing via e-post som angrepsvektor, er det mulig at andre infiltrasjonsmetoder har blitt brukt.

Kapring av nettleserutvidelser er ikke uvanlig. Å laste inn ondsinnet kode i legitime apper er imidlertid noe man ikke ser hver dag innen cybersikkerhet.

Nettleserutvidelser på Chromes offisielle nettsted blir fjernet for å forhindre at brukere laster ned utvidelser som fungerer som skadelig programvare. I mellomtiden jobber utviklere med å utvikle og distribuere oppdateringer.

På grunn av omfanget av dette angrepet er cybersikkerhetsteam og selskaper fortsatt i ferd med å ta igjen det tapte. En automatisert angrepsvektor kan være grunnen til at dette angrepet skalerer raskt.

Det er tydelig at trusselaktører har i hendene en lang liste med e-poster som tilhører utviklere av nettleserutvidelser. Disse blir mest sannsynlig matet til automatiserte phishing-verktøy, noe som fremskynder distribusjonen av kampanjen.

Utvikler-e-poster er offentlig oppført på Chrome Store, men disse e-postene brukes vanligvis til å rapportere feil. Det er uklart om trusselaktøren har fått tak i informasjon som tilhører utviklere fra et annet brudd eller lekkasje.

Tirath Ramdas, AI-programvareutvikler og grunnlegger av Chamomile.ai, snakket med Techopedia om sikkerhet for nettleserutvidelser.

“Det er en oppfatning om at nettleserutvidelser er plugins, og at de derfor ikke er i stand til å gjøre så mye skade.

«Men i virkeligheten har nettleserutvidelser og webtjenestearbeidere en svært privilegert posisjon, og de kan potensielt fange opp synlig og usynlig innhold knyttet til alle nettsider som brukeren ser på.»

Ramdas sier at forbrukerne har blitt mer bevisste på risikoen ved å laste ned og kjøre programvare fra Internett, og nettlesere og operativsystemer som Windows og MacOS gjør en god jobb med å beskytte brukerne mot skadelig programvare.

«Men denne bevisstheten og beskyttelsen gjelder ikke nettleserutvidelser», sier Ramdas.

Poenget: Slik holder du deg trygg

Fordi et stort antall nettsteder, IP-adresser og domener har blitt knyttet til denne omfattende kampanjen, og fordi ulike hackingteknikker også har blitt identifisert, finnes det ingen enkelt sikkerhetsoppdatering eller unik løsning som brukere eller utviklere kan ta i bruk som en mirakelløsning.

Hvis du er bruker og har lastet ned en av de berørte nettleserutvidelsene, anbefaler vi at du avinstallerer den, tømmer nettleserens hurtigbuffer og installerer utvidelsen på nytt hvis den er oppdatert.

I tillegg kan det være lurt å se på tillatelsene til nettleserutvidelsene dine. Det kan være en byrde å endre passordet ditt og aktivere multifaktorautentisering, men det er et nødvendig skritt for dem som er berørt.

På den annen side har utviklere og selskaper som produserer nettleserutvidelser, en vanskeligere vei å gå. De må revidere nettleserutvidelsene sine for å dobbeltsjekke integriteten til utvidelsene.

De må også se etter mistenkelig aktivitet og spre budskapet blant utviklere om at de må passe seg for phishing.

Nettlesere anses som en skattekiste for nettkriminelle, ettersom de lagrer en rekke personopplysninger.

Husk å bare installere nettleserutvidelser du er kjent med. Hold deg unna utvidelser med få brukere, og les brukeranmeldelser før du installerer dem i nettleseren din.

Ofte stilte spørsmål

Hva er omfanget av cyberangrepet på Chrome-nettleserutvidelser?

Hvordan kompromitterer hackere Chrome-utvidelser?

Hva bør jeg gjøre hvis jeg har installert en kompromittert utvidelse?

Hvilke data kan hackere få tilgang til via kompromitterte utvidelser?

Hvordan kan brukere unngå å laste ned skadelige Chrome-utvidelser?

Hvordan kan utviklere beskytte nettleserutvidelsene sine?

Relaterte begreper

Related Articles

Ray Fernandez
Senior Technology Journalist
Ray Fernandez
Senior teknologijournalist

Ray er en uavhengig journalist med 15 års erfaring, med fokus på skjæringspunktet mellom teknologi og ulike aspekter av livet og samfunnet. Han begynte i Techopedia i 2023 etter å ha publisert i en rekke medier, blant annet Microsoft, TechRepublic, Moonlock, Hackermoon, VentureBeat, Entrepreneur og ServerWatch. Han har en grad i journalistikk fra Oxford Distance Learning og to spesialiseringer fra FUNIBER i miljøvitenskap og oseanografi. Når Ray ikke jobber, lager han musikk, driver med sport og reiser med sin kone og tre barn.