El equipo de ciberseguridad Sekoia advierte a los usuarios de Chrome sobre un ataque a la cadena de suministro dirigido a desarrolladores de extensiones de navegador que potencialmente ya ha afectado a cientos de miles de personas.
Hasta ahora, decenas de desarrolladores de extensiones de Chrome han sido víctimas de ataques, cuyo objetivo era obtener claves API, cookies de sesión y otros tokens de autenticación de sitios web como ChatGPT y Facebook for Business.
Sekoia examinó la infraestructura utilizada para la campaña de phishing a gran escala dirigida a desarrolladores y la rastreó hasta ataques similares que se remontan a 2023 con «alta confianza». Sin embargo, la última actividad de campaña conocida ocurrió el 30 de diciembre de 2024.
Entre las víctimas se encontraba Cyberhaven, con sede en California, que fabrica una herramienta de protección de datos basada en la nube. La compañía fue una de las desafortunadas en detectar el compromiso durante el período festivo del Boxing Day de 2024, un descubrimiento que fue ampliamente informado en ese momento.
Booz Allen Hamilton analizó el incidente en Cyberhaven y respaldó las sospechas del proveedor de que era parte de una campaña más amplia. Su acompañamiento informe (PDF) del análisis de Cyberhaven reveló una larga lista de otras extensiones que cree que probablemente se vieron afectadas, lo que eleva el número potencial de usuarios finales afectados a millones. Sekoia publicó una lista menos completa en su investigaciónaunque en ambas listas aparecen las mismas extensiones.
Varias de las extensiones potencialmente afectadas (según el informe de Booz Allen Hamilton) parecen haber sido retiradas de Chrome Web Store al momento de escribir este artículo. Las páginas que pertenecen a muchos de los demás muestran que han sido actualizadas desde el incidente de Cyberhaven, aunque muy pocos han reconocido públicamente un incidente.
Un caso atípico fue Reader Mode, cuyo fundador Ryzal Yusoff escribió un carta abierta a sus alrededor de 300.000 usuarios, informándoles de una infracción del 5 de diciembre.
«El 5 de diciembre de 2024, nuestra cuenta de desarrollador se vio comprometida debido a un correo electrónico de phishing que imitaba las comunicaciones oficiales de Chrome Web Store», dijo Yusoff. «Esta infracción permitió a personas no autorizadas cargar versiones maliciosas de la extensión Reader Mode (1.5.7 y 1.5.9) en Chrome Web Store. El ataque se descubrió el 20 de diciembre de 2024, después de que Google emitiera advertencias identificando intentos de phishing vinculados a esto. incumplimiento.
«Las versiones maliciosas de la extensión pueden haber incluido scripts no autorizados diseñados para recopilar datos del usuario o realizar otras acciones dañinas. Si instaló o actualizó la extensión Reader Mode entre el 7 y el 20 de diciembre de 2024, es posible que su navegador se haya visto afectado».
Jaime Blasco, cofundador y CTO de Nudge Security, con sede en Austin, también mencionó una serie de extensiones en una serie de publicaciones en línea sospechaba que estaban comprometidos, muchos de los cuales también aparecieron en el informe de Booz.
Suplantación de soporte de Chrome
El atacante apuntó a equipos de desarrollo con correos electrónicos de phishing aparentemente del soporte para desarrolladores de Chrome Web Store, imitando la comunicación oficial, según Yusoff y Sekoia.
El correo electrónico de muestra, que aparece en el informe, muestra advertencias de que se pueden retirar extensiones de Chrome debido a violaciones falsas de las reglas, como detalles innecesarios en la descripción de la extensión.
Las víctimas fueron atraídas para que hicieran clic en un enlace disfrazado de explicación de las políticas de Chrome Web Store. El enlace conducía a una página legítima de Cuentas de Google, donde se les pedía que aprobaran el acceso a una aplicación OAuth maliciosa. Una vez que los desarrolladores otorgaron permiso a la aplicación, el atacante obtuvo todo lo necesario para cargar versiones comprometidas de sus extensiones en Chrome Web Store.
Los investigadores dijeron que es probable que los correos electrónicos de los desarrolladores se hayan recopilado del Tienda web de Chromedonde dicha información pueda ser accesible.
Sondeando la infraestructura
Utilizando los dos dominios asociados con los correos electrónicos de phishing, Sekoia pudo descubrir los otros nombres de dominio utilizados en esta campaña y aquellos probablemente involucrados en ataques anteriores de los mismos malhechores.
Los nombres de dominio utilizados como servidores de comando y control (C2) del atacante estaban alojados en solo dos direcciones IP y, utilizando resoluciones DNS pasivas, los investigadores creen que descubrieron posiblemente todos los dominios que fueron comprometidos en la campaña.
Sekoia dijo que era «sencillo» descubrir los nombres de dominio utilizados en el último ataque y los utilizados en 2023, ya que se utilizó el mismo registrador (Namecheap) cada vez, y las configuraciones de DNS y TLS eran consistentes.
«La convención de nombres de dominio y sus fechas de creación indican que las campañas del atacante han estado activas desde al menos diciembre de 2023», escribió Sekoia en una publicación de blog. «Es posible que los sitios web que redirigen a extensiones de Chrome supuestamente maliciosas hayan sido promocionados a través de Envenenamiento SEO o publicidad maliciosa.
«Los analistas de Sekoia creen que este actor de amenazas se ha especializado en difundir extensiones maliciosas de Chrome para recopilar datos confidenciales. A finales de noviembre de 2024, el atacante cambió su modus operandi de distribuir sus propias extensiones maliciosas de Chrome a través de sitios web falsos a comprometer extensiones legítimas de Chrome mediante phishing. correos electrónicos, aplicaciones OAuth maliciosas y códigos maliciosos inyectados en extensiones de Chrome comprometidas». ®
