Som følge heraf er millioner af brugere i risiko for datatyveri, identitetstyveri, økonomisk bedrageri og mere, ifølge cybersikkerhedsforskere hos Sekoia.
Forskerne forklarer, at angrebet startede med et meget overbevisende phishing-angreb, hvor gerningsmændene udgav sig for at være Google Chrome Web Store-support.
De sendte e-mails til Chrome-udviklere og advarede dem om overtrædelser af butikkens politikker, og truede med at fjerne deres udvidelser fra butikken, medmindre de 'opdaterede deres privatlivspolitik'.
Naturligvis indeholdt e-mailen et link, der førte til en legitim Google OAuth-side, men denne var oprettet til en ondsindet applikation. Det skriver TechRadar.
Facebook Business og andre mål
Ofre, der loggede ind, delte uforvarende deres loginoplysninger med angriberne, som brugte adgangen til at manipulere deres arbejde og kompromittere udvidelserne.
Sekoia oplyser, at angriberne gik målrettet efter Facebook Business-konti, API-nøgler, sessioncookies, adgangstokens, kontooplysninger og annoncekontooplysninger. I nogle tilfælde var der også fokus på ChatGPT API-nøgler og brugerautentifikationsdata.
Teamet har sporet kampagnen tilbage til omtrent marts 2024, men der er dog en mulighed for, at aktiviteterne startede endnu tidligere.
Nogle af de mere populære udvidelser, der blev ramt, inkluderer GraphQL Network Inspector, Proxy SwitchyOmega (V3), YesCaptcha Assistant, Castorus, og VidHelper - Video Download Helper.
Antallet af berørte personer måles i hundredtusinder eller endda millioner og afhænger i høj grad af antallet af downloads af disse plugins. De fleste af de kompromitterede løsninger er allerede blevet fjernet fra Chrome Web Store.
Brugere anbefales dog stadig at fjerne eller opdatere de berørte udvidelser til versioner, der er udgivet efter den 26. december 2024, og at nulstille vigtige adgangskoder. Her er det især vigtigt at få det gjort for Facebook og ChatGPT.
