Cyberhaven zegt dat hackers zich met Kerstmis op Chrome-extensies hebben gericht

Cyberhaven, een in Californië gevestigd cyberbeveiligingsbedrijf, zegt dat het onlangs op kerstavond is gehackt en dat de hackers zich richtten op Chrome-extensies. Cyberhaven vermeldt niet wat de reden voor de aanval was, en weet momenteel ook niet door wie de aanval is uitgevoerd.

Het merkt echter op dat het momenteel samenwerkt met de federale wetshandhaving. Het onderzoek wordt ook bijgestaan ​​door een ander cyberbeveiligingsbedrijf dat eigendom is van Google, genaamd Mandiant. Volgens Cyberhaven gelooft het niet dat dit het directe doelwit van de hack was. In plaats daarvan maakte de aanval op de Chrome-extensie deel uit van een grotere aanval op verschillende Chrome-extensies van verschillende bedrijven.

Geen van die andere bedrijven werd genoemd. Mede-oprichter van Nudge Security zei echter in een bericht op X dat hij verschillende Chrome-extensies heeft opgemerkt die met soortgelijke aanvallen zijn getroffen. Eén ervan leek al medio december te hebben plaatsgevonden.

Hackers hadden waarschijnlijk een tijdje controle over sommige Chrome-extensies

Het is onduidelijk hoeveel extensies er precies onder controle waren na de aanval, maar die van Cyberhaven was in ieder geval iets meer dan een dag onder controle. Volgens The Record zegt Cyberhaven dat het de kwaadaardige Chrome-extensie binnen een uur na het ontdekken van het probleem uit de winkel heeft verwijderd. Alle gebruikers die de extensie hadden geïnstalleerd, waren echter gedurende ten minste 30 uur kwetsbaar.

Hoewel de reden voor de aanval op dit moment onbekend is, vermeldt Cyberhaven wel dat de kwaadaardige update die aan de extensie is toegevoegd, “exfiltratie van gebruikersinformatie” zoals wachtwoorden mogelijk maakte. Het gaf ook toegang tot cookies en sessies.

Gebruikers moeten de extensie bijwerken, maar niet verwijderen

Terwijl het onderzoek voortduurt, zegt Cyberhaven dat het gebruikers heeft aanbevolen de extensie te updaten. Ze mogen de code echter niet verwijderen, omdat delen van de kwaadaardige code voor analyse kunnen worden gebruikt. Gebruikers wordt ook aangeraden om voor de zekerheid wachtwoorden te rouleren. Bovendien zegt Cyberhaven dat gebruikers hun eigen logbestanden moeten controleren op kwaadaardige activiteiten. Gezien de aard van de aanval zou het een verstandige zet zijn. Omdat de kwaadaardige update van de extensie de hackers waarschijnlijk toegang gaf tot veel gevoelige informatie.

Cyberhaven heeft geen specifieke details over de aanval vrijgegeven. Er wordt echter niet vermeld dat een van de medewerkers het doelwit was van een ‘geavanceerde aanval’. Sommigen suggereren dat een phishing-e-mail het account van die werknemer zou kunnen compromitteren.

Thijs Van der Does