Az elmúlt esztendő vége egy meglehetősen nagyszabású kibertámadással zárult, amire néhány napja derült fény. A támadók a Google Web Store fejlesztői hitelesítő rendszerében lapuló sebezhetőséget próbálták meg kiaknázni, és sajnos sikerrel is jártak.
A támadások során kifinomult technikákkal, úgynevezett lándzsás adathalászattal dolgoztak, ami kifejezetten adott személyeket vagy kisebb csoportokat céloz, méghozzá olyan adatokat felhasználva, amelyek felkeltik a célpont érdeklődését, és így besétál a kiberbűnözők csapdájába, érzékeny adatait átadva nekik. A kifinomult támadássorozat eredményeként számos Chrome bővítmény fejlesztőjét sikerült csapdába csalni, a kiberbűnözők megszerezték bejelentkezési adataikat, így a népszerű bővítményeket módosítva azokban kártékony kódokat tudtak elhelyezni.
Az incidensre a Cyberheaven szakemberei figyeltek fel, akik egy speciális bővítményt fejlesztenek, segítve a felhasználókat abban, hogy ne adjanak meg véletlenül érzékeny bizalmas adatokat különböző leveleken vagy weboldalakon keresztül. A célba vett bővítmények közül elsőként ezt támadták meg a kiberbűnözők és sajnos sikerrel is jártak. A támadásra még 2024. december 24-én este kerülhetett sor, és a jelek szerint nemcsak a Cyberheaven bővítményénél jártak sikerrel, hanem számos egyéb vállalat bővítményeinél is.
A Cyberheaven bővítménye, ami a 24.10.4-es verziószámot viselte, nagyjából 31 órán át volt elérhető, azaz december 25-én és december 26-án is letölthették a felhasználók, sőt, azokhoz is megérkezett a kártékony kóddal kiegészített verzió, akik egy korábbi kiadást már használtak, ráadásul ők automatikusan megkapták azt, és a kártékony kód is automatikusan lefutott. A kártékony kód különböző weboldalakról töltött le tartalmakat, amelyek a Cyberheaven hivatalos weboldalát utánozták.
A szélesebb körű vizsgálatok eredményeként a Cyberheaven bővítménye mellett legalább 19 egyéb bővítmény is célkeresztbe került, amelyekbe szintén kártékony kódok kerültek. Erre a Secure Annex alapítója, John Tuckner hívta fel a figyelmet, aki egy bővítményelemző és menedzselő céget irányít. A támadók a többi esetben is kifinomult adathalászat keretén belül szerezték meg a kiszemelt fejlesztők fiókadatait. Összesen tehát legalább 20 bővítményt sikerült megfertőzniük, a fertőzött fájlokat pedig legalább 1,46 millió rendszer töltötte le. A biztonságtechnikai szakemberek jelenleg is elemzik a fájlokat és a kártékony kódok működését, hogy kiderüljön, a kártékony kóddal megfertőzött bővítményeken keresztül sikerült-e érzékeny átlagfelhasználói adatokat szerezniük a hackereknek.
Ez az eset sajnos nem példa nélküli, 2019 folyamán már történt hasonló, akkoriban a Chrome mellett a Firefox egyes bővítményeit is megtámadták, ennek során legalább négymillió eszköz került veszélybe, köztük olyanok is, amelyek nagy cégek hálózatába tartoztak, például a Tesla, a Symantec vagy a Blue Origin kötelékébe.
A további vizsgálatok eredményeként kiderült, hogy az egyik népszerű bővítmény, ami a Reader Mode nevet viseli, szintén egy támadás célpontja volt korábban, amelynek eredményeként kártékony kóddal vértezték fel, és a fertőzött verzió igen régóta, 2023 áprilisától kezdve szedte gyanútlan áldozatait. Az elemzés alapján a fertőzött bővítmény folyamatosan regisztrálta a weboldal-megtekintéseket. A fertőzött bővítményt kiegészítő könyvtárként összesen 13 további bővítmény használta, ennek köszönhetően összesen 1,14 millió rendszerre jutott el, működése során pedig érzékeny felhasználói adatokat gyűjthetett.
A fentiek alapján igencsak vigyázni kell a bővítményekkel, biztonság terén ugyanis elég sok kockázatot rejtenek. Truckner szerint a szervezeteknek érdemes létrehozniuk egy bővítményhasználati listát, amelyen csak azok szerepelnek, amelyekre feltétlenül szükség van és mindenképpen kellenek, a többi bővítmény használatát pedig egyszerűen le kell tiltani.
