16 populära Chrome-tillägg, inklusive "Adblock for Chrome", kapade i en massiv cyberattack
Ett stort säkerhetsöverträdelse har äventyrat över 3,2 miljoner användare genom ett nätverk av skadliga webbläsartillägg. Dessa tillägg, som avsiktligt framstår som legitima, visade sig injicera skadliga skript, stjäla data och till och med ägna sig åt sökmotorbedrägeri. Forskare har fastställt att attacken utfördes genom en kompromettering av leveranskedjan, där angriparna infiltrerade betrodda tillägg och drev skadliga uppdateringar utan att användarna ens insåg att det hände.
Tilläggen i fråga var ursprungligen utformade för annonsblockering, emoji-tangentbord och skärmdump, för att nämna några. Uppdateringar introducerade dock fördunklade skript som möjliggjorde obehörig datautfiltrering, ändringar av HTTP-begäranden och injektion av annonser på webbsidor. Alla dessa förändringar förblev obemärkta av användare som tidigare hade beviljat behörigheter till dessa tillägg, vilket gjorde det möjligt för angripare att manipulera webbaktivitet i realtid. Flera säkerhetsexperter har påpekat att de behörigheter som beviljats dessa tillägg, inklusive värdåtkomst och skriptkontroller, gjorde dem särskilt farliga.
Här är den fullständiga listan över alla 16 drabbade Chrome-tillägg:
- Blipshot (skärmdumpar med ett klick på hela sidan)
- Emojis - Emoji-tangentbord
- WAToolkit
- Färgväxlare för YouTube
- Videoeffekter för YouTube och Audio Enhancer
- Teman för Chrome och YouTube™ Bild i bild
- Mike Adblock für Chrome | Chrome-Werbeblocker
- Uppdatera sidan
- Wistia Video Nedladdare
- Super mörkt läge
- Emoji-tangentbord Emojis för Chrome
- Adblocker för Chrome - NoAds
- Adblock för dig
- Adblock för Chrome
- Nimble Capture
- KProxy
Undersökningar har spårat denna attack till komprometterade utvecklarkonton. Vissa utvecklare slutade omedvetet överföra kontrollen över sina tillägg till angriparna, som sedan distribuerade skadliga uppdateringar via officiella butiker för webbläsartillägg. Infrastrukturen för denna attack verkar vara kopplad till tidigare kända phishing-operationer. Hotaktörerna uppnådde detta genom att utnyttja behörigheter som "host_permissions", "scripting" och "declarativeNetRequest".
En annan oroande aspekt av den här kampanjen är dess likhet med tidigare attacker i leverantörskedjan, där angripare använder betrodd programvara för att sprida skadlig kod. Genom att använda uppdateringsmekanismer för webbläsartillägg kan angriparna kringgå traditionella säkerhetsåtgärder.
För närvarande har de identifierade tilläggen tagits bort från officiella plattformar. Användare rekommenderas dock att inte enbart förlita sig på positiva recensioner av tillägg innan de installerar nya tillägg.
