Extensão do Chrome de empresa de cibersegurança é hackeada para roubo de senhas e dados sensíveis

A startup de prevenção contra perda de dados, Cyberhaven, revelou que hackers publicaram uma atualização maliciosa para sua extensão do Chrome, capaz de roubar senhas e tokens de sessão de clientes. A informação foi compartilhada em um e-mail enviado aos clientes afetados, que podem ter sido vítimas de um possível ataque à cadeia de suprimentos.

Na sexta-feira, a Cyberhaven confirmou o incidente, mas preferiu não fornecer detalhes específicos sobre o ataque.

O e-mail, obtido e divulgado pelo pesquisador de segurança Matt Johansen, informou que os hackers comprometeram uma conta da empresa para lançar a atualização maliciosa na manhã de 25 de dezembro. Segundo o comunicado, os clientes que utilizavam a extensão comprometida poderiam ter informações sensíveis, como sessões autenticadas e cookies, exfiltradas para o domínio do atacante.

O porta-voz da Cyberhaven, Cameron Coles, não quis comentar o conteúdo do e-mail, mas não negou sua autenticidade.

Em um comunicado breve, a empresa informou que sua equipe de segurança detectou o comprometimento na tarde de 25 de dezembro, removendo a extensão maliciosa (versão 24.10.4) da Chrome Web Store e lançando uma versão legítima (24.10.5) logo em seguida.

A Cyberhaven, que oferece produtos para proteger contra exfiltração de dados e outros ataques cibernéticos, possui uma extensão para Chrome utilizada por cerca de 400 mil usuários corporativos, conforme dados disponíveis na Chrome Web Store. A empresa atende clientes como Motorola, Reddit e Snowflake, além de escritórios de advocacia e seguradoras de saúde.

Os clientes afetados foram orientados a "revogar" e "atualizar todas as senhas" e outras credenciais, como tokens de API. Também foi recomendado revisar os registros de atividades em busca de comportamentos maliciosos. Tokens de sessão e cookies roubados podem ser usados para acessar contas sem a necessidade de senha ou autenticação de dois fatores, permitindo que hackers contornem essas medidas de segurança.

O e-mail não especificou se os clientes deveriam alterar credenciais de outras contas armazenadas no Chrome, e a Cyberhaven não forneceu mais detalhes quando questionada pelo TechCrunch.

A empresa confirmou que a conta comprometida era o "único administrador da Google Chrome Store", mas não informou como ocorreu o comprometimento ou quais políticas de segurança estavam em vigor no momento. Em comunicado, a Cyberhaven afirmou ter iniciado uma revisão abrangente de suas práticas de segurança e implementará medidas adicionais com base nos resultados.

Além disso, a Cyberhaven contratou a firma de resposta a incidentes Mandiant e está cooperando ativamente com as autoridades federais.

Jaime Blasco, cofundador e CTO da Nudge Security, destacou nas redes sociais que outras extensões do Chrome também foram comprometidas em uma campanha aparentemente maior, envolvendo ferramentas de IA, produtividade e VPNs. Segundo Blasco, o ataque parece ter como alvo desenvolvedores de extensões de maneira oportunista, aproveitando credenciais comprometidas.

Em um comunicado a Cyberhaven afirmou que "relatórios públicos sugerem que esse ataque faz parte de uma campanha mais ampla visando desenvolvedores de extensões do Chrome em diversas empresas". Até o momento, não há confirmação sobre os responsáveis ou a extensão total do ataque.

Via - TC