Стартап в сфере предотвращения утечек данных (DLP) Cyberhaven заявил, что хакеры опубликовали вредоносное обновление его расширения для Chrome, способное похищать пароли и сеансовые токены клиентов. Об этом говорится в электронном письме, разосланном пострадавшим пользователям, которые могли стать жертвами этой предполагаемой атаки на цепочку поставок.
Cyberhaven подтвердил факт кибератаки в беседе с TechCrunch в пятницу, однако отказался комментировать детали инцидента.
В письме, направленном клиентам и опубликованном исследователем в сфере безопасности Мэттом Йохансеном, указано, что злоумышленники получили доступ к учётной записи компании, чтобы выпустить вредоносное обновление расширения Chrome ранним утром 25 декабря. Согласно этому письму, у клиентов, которые использовали скомпрометированное расширение, «существует возможность утечки конфиденциальных данных, включая аутентифицированные сессии и cookie, на домен атакующего».
Представитель Cyberhaven, Кэмерон Коулз, отказался комментировать содержание письма, но не оспаривал его подлинность.
В кратком заявлении, отправленном по электронной почте, Cyberhaven сообщил, что его команда безопасности обнаружила компрометацию днём 25 декабря и что вредоносная версия расширения (24.10.4) была удалена из интернет-магазина Chrome. Вскоре после этого была выпущена новая, легитимная версия расширения (24.10.5).
Cyberhaven предлагает продукты, предназначенные для защиты от утечек данных и других кибератак, в том числе браузерные расширения, позволяющие компании отслеживать потенциально вредоносную активность на веб-сайтах. По состоянию на данный момент в магазине Chrome расширение Cyberhaven установлено примерно 400 000 корпоративных пользователей.
На вопрос TechCrunch о том, сколько именно клиентов пострадало от утечки, представители Cyberhaven не ответили. Компания, базирующаяся в Калифорнии, указывает в числе клиентов технологических гигантов Motorola, Reddit и Snowflake, а также юридические фирмы и крупные страховые компании в сфере здравоохранения.
Согласно письму Cyberhaven, пострадавшим пользователям рекомендуется «отозвать» и «сменить все пароли» и другие текстовые учётные данные, такие как токены API. Кроме того, Cyberhaven советует клиентам проверить свои собственные логи на предмет вредоносной активности. (Сеансовые токены и cookie для авторизованных аккаунтов, похищенные из браузера, позволяют злоумышленникам войти в эти аккаунты без ввода пароля или кода двухфакторной аутентификации, фактически обходя все меры безопасности.)
В письме не уточняется, нужно ли менять данные для других аккаунтов, сохранённых в Chrome, и представитель Cyberhaven также отказался дать комментарии по этому вопросу журналистам TechCrunch.
Согласно письму, взломанная учётная запись компании была «единственной учётной записью администратора для Google Chrome Store». Cyberhaven не уточнил, каким образом была взломана эта учётная запись и какие меры корпоративной безопасности были в силе на момент атаки. В кратком заявлении компания подчеркнула, что «начала комплексную проверку наших практик безопасности и планирует ввести дополнительные меры на основе полученных результатов».
Cyberhaven сообщила, что уже наняла фирму по реагированию на инциденты (в письме клиентам упоминается Mandiant) и «активно сотрудничает с федеральными правоохранительными органами».
Джейми Бласко, сооснователь и технический директор Nudge Security, написал в соцсети X, что в ходе, по-видимому, той же кампании были скомпрометированы и несколько других расширений для Chrome, причём у некоторых — десятки тысяч пользователей.
Бласко рассказал TechCrunch, что он всё ещё анализирует произошедшие атаки и полагает, что ранее в этом году были взломаны и другие расширения, связанные с ИИ, повышением производительности и VPN.
«Похоже, что целью была не Cyberhaven, а расширения в целом, на которые у хакеров были учётные данные разработчиков», — говорит Бласко. «Кажется, они шли по списку доступных им учётных данных расширений».
В заявлении, адресованном TechCrunch, Cyberhaven отметил, что «публичные отчёты указывают на то, что эта атака была частью более крупной кампании, нацеленной на разработчиков Chrome-расширений самых разных компаний». В настоящий момент неизвестно, кто несёт ответственность за эту кампанию, а также не подтверждено, какие ещё компании и их расширения подверглись атаке.
Cyberhaven подтвердил факт кибератаки в беседе с TechCrunch в пятницу, однако отказался комментировать детали инцидента.
В письме, направленном клиентам и опубликованном исследователем в сфере безопасности Мэттом Йохансеном, указано, что злоумышленники получили доступ к учётной записи компании, чтобы выпустить вредоносное обновление расширения Chrome ранним утром 25 декабря. Согласно этому письму, у клиентов, которые использовали скомпрометированное расширение, «существует возможность утечки конфиденциальных данных, включая аутентифицированные сессии и cookie, на домен атакующего».
Представитель Cyberhaven, Кэмерон Коулз, отказался комментировать содержание письма, но не оспаривал его подлинность.
В кратком заявлении, отправленном по электронной почте, Cyberhaven сообщил, что его команда безопасности обнаружила компрометацию днём 25 декабря и что вредоносная версия расширения (24.10.4) была удалена из интернет-магазина Chrome. Вскоре после этого была выпущена новая, легитимная версия расширения (24.10.5).
Cyberhaven предлагает продукты, предназначенные для защиты от утечек данных и других кибератак, в том числе браузерные расширения, позволяющие компании отслеживать потенциально вредоносную активность на веб-сайтах. По состоянию на данный момент в магазине Chrome расширение Cyberhaven установлено примерно 400 000 корпоративных пользователей.
На вопрос TechCrunch о том, сколько именно клиентов пострадало от утечки, представители Cyberhaven не ответили. Компания, базирующаяся в Калифорнии, указывает в числе клиентов технологических гигантов Motorola, Reddit и Snowflake, а также юридические фирмы и крупные страховые компании в сфере здравоохранения.
Согласно письму Cyberhaven, пострадавшим пользователям рекомендуется «отозвать» и «сменить все пароли» и другие текстовые учётные данные, такие как токены API. Кроме того, Cyberhaven советует клиентам проверить свои собственные логи на предмет вредоносной активности. (Сеансовые токены и cookie для авторизованных аккаунтов, похищенные из браузера, позволяют злоумышленникам войти в эти аккаунты без ввода пароля или кода двухфакторной аутентификации, фактически обходя все меры безопасности.)
В письме не уточняется, нужно ли менять данные для других аккаунтов, сохранённых в Chrome, и представитель Cyberhaven также отказался дать комментарии по этому вопросу журналистам TechCrunch.
Согласно письму, взломанная учётная запись компании была «единственной учётной записью администратора для Google Chrome Store». Cyberhaven не уточнил, каким образом была взломана эта учётная запись и какие меры корпоративной безопасности были в силе на момент атаки. В кратком заявлении компания подчеркнула, что «начала комплексную проверку наших практик безопасности и планирует ввести дополнительные меры на основе полученных результатов».
Cyberhaven сообщила, что уже наняла фирму по реагированию на инциденты (в письме клиентам упоминается Mandiant) и «активно сотрудничает с федеральными правоохранительными органами».
Джейми Бласко, сооснователь и технический директор Nudge Security, написал в соцсети X, что в ходе, по-видимому, той же кампании были скомпрометированы и несколько других расширений для Chrome, причём у некоторых — десятки тысяч пользователей.
Бласко рассказал TechCrunch, что он всё ещё анализирует произошедшие атаки и полагает, что ранее в этом году были взломаны и другие расширения, связанные с ИИ, повышением производительности и VPN.
«Похоже, что целью была не Cyberhaven, а расширения в целом, на которые у хакеров были учётные данные разработчиков», — говорит Бласко. «Кажется, они шли по списку доступных им учётных данных расширений».
В заявлении, адресованном TechCrunch, Cyberhaven отметил, что «публичные отчёты указывают на то, что эта атака была частью более крупной кампании, нацеленной на разработчиков Chrome-расширений самых разных компаний». В настоящий момент неизвестно, кто несёт ответственность за эту кампанию, а также не подтверждено, какие ещё компании и их расширения подверглись атаке.