Chaîne logistique du logiciel : Cyberhaven touché par une cyberattaque

C’est le 25 décembre à 23h54 UTC que les équipes de Cyberhaven ont repéré l’incident : depuis plus de 24h, le compte utilisé par l’un de ses collaborateurs pour accéder à la boutique d’extension du navigateur Chrome était compromis par un tiers.

Dans un message adressé à ses clients, l’éditeur de solutions de protection des données, indique que l’acteur malveillant impliqué a utilisé ce compte pour publier, sur le Chrome Web Store, une extension malveillante, « tôt le matin du 25 décembre 2024 ».

L’extension en question semble avoir été conçue pour fonctionner comme un infostealer : « il est possible que des informations sensibles, dont des cookies et jetons de session authentifiée, aient été exfiltrés vers le domaine de l’attaquant », explique Cyberhaven, entre le 25 décembre à 1h32 UTC et le lendemain, à 2h50 UTC. C’est la période durant laquelle le domaine de l’acteur malveillant – cyberhavenxt[.]pro – a été actif. D’autres domaines associés ont toutefois été, depuis, découverts.

Cyberhaven indique avoir retiré l’extension malveillante dans les 60 minutes suivant sa détection. Mais en toute logique, l’éditeur recommande à tous ses utilisateurs potentiellement concernés – ceux ayant utilisé la version 24.10.4 de son extension – de changer tous leurs mots de passe non FIDO2 ainsi que leurs clés d’API, ainsi que de vérifier les logs d’activité. 

L’extension malveillante s’appuyait notamment sur du code JavaScript injecté dans les pages Web après chargement des feuilles de style CSS, mais avant le rendu complet des pages et l’exécution d’autres codes JavaScript. 

Le code malveillant cherchait en particulier à identifier les clés d’API OpenAI et à valider les jetons et cookies de session avant de les adresser à son développeur. 

Plusieurs extensions pour Chrome ont été concernées, dont Internxt VPN, VPNCity, Uvoice, ou encore ParrotTalks.

Pour Matt Johansen, fondateur de Vulnerable U, cet incident est important parce qu’il « montre comment des outils de sécurité de confiance peuvent être détournés contre leurs utilisateurs, avec une attaque stratégiquement programmée durant une période de vacances quand les équipes de sécurité fonctionnent généralement avec des équipes réduites ».

La chaîne logistique du logiciel présente des cibles de choix pour les acteurs malveillants. La menace est soulevée depuis de nombreuses années mais 2024 en a encore fait la démonstration avec, notamment, des attaques par rebond via le service Polyfill.io, ou encore le détournement de fonctionnalités de GitHub pour distribuer des logiciels malveillants.