Extensions Chrome : une campagne plus vaste que ce qui était estimé initialement

Des dizaines d’extensions Google Chrome ont été compromises dans le cadre d’une campagne de grande envergure, selon plusieurs fournisseurs de cybersécurité.

C’est le 27 décembre 2024 que l’éditeur de solutions de sécurité des données Cyberhaven a rendu publique une attaque de la chaîne logistique du logiciel : des pirates ont publié une version malveillante de son extension Chrome, la version 24.10.4. L’attaque a commencé par une opération de phishing qui a compromis l’accès d’un employé au Chrome Web Store.

L’e-mail de phishing prétendait provenir de Google et avertissait que Cyberhaven risquait d’être retiré du Chrome Web Store ; il contenait un lien vers une application OAuth Google malveillante appelée Privacy Policy Extension, qui utilisait le flux d’autorisation de Google. Le compte Google de l’employé n’a pas été compromis – le compte était protégé par authentification à facteurs multiples (MFA) et Google Advanced Protection – mais l’attaquant a eu accès à ses informations d’identification pour le Chrome Web Store.

Une fois l’accès obtenu, l’attaquant a copié l’extension Chrome officielle de Cyberhaven et a publié une version malveillante sur le Chrome Web Store. Selon un billet de blog de Cyberhaven, cette extension malveillante comprenait des fichiers supplémentaires permettant de contacter le serveur de commande et de contrôle (C&C) de l’attaquant avant de collecter les données de l’utilisateur pour les exfiltrer vers un site Web externe. Le billet de blog affirme que, sur la base d’une analyse des machines compromises, « le motif principal de l’attaque était de cibler les comptes Facebook Ads ».

« Dans notre analyse des nombreux points de terminaison compromis dans notre base de clients, le site Web cible reçu du serveur C&C était des domaines liés à “*.facebook.com”. Nous n’avons pas encore vu d’autres sites Web ciblés, ce qui nous fait penser qu’il s’agit d’une attaque générique, non ciblée, visant les utilisateurs des services publicitaires de facebook.com », peut-on lire sur le blog.

Selon un billet de blog publié le 27 décembre par Howard Ting, PDG de Cyberhaven, « notre équipe de sécurité a détecté cette compromission à 23h54 UTC le 25 décembre et a supprimé le paquet malveillant dans les 60 minutes qui ont suivi ». Dans le cadre de la réponse de l’entreprise au piratage, Cyberhaven a publié un outil open source permettant de détecter si une extension malveillante a exfiltré des données. Cyberhaven a d’abord informé les utilisateurs que son extension avait été compromise le 26 décembre.

Cyberhaven a également conclu que l’accès aux comptes Facebook était un objectif principal, car le chemin du code malveillant s’efforçait d’obtenir des jetons d’accès à Facebook et des informations sur les comptes. De plus, le billet de blog relève que la nouvelle extension malveillante a ajouté un listener de clics de souris pour le site Web de Facebook.

Mais l’activité malveillante s’est étendue au-delà de Cyberhaven. « Bien que l’analyse de l’attaque soit toujours en cours, nous comprenons maintenant qu’elle faisait partie d’une campagne plus large visant les développeurs d’extensions Chrome », indique Cyberhaven dans son billet de blog : « les rapports publics des chercheurs en sécurité ont suggéré que les extensions Chrome de plusieurs entreprises différentes ont été compromises et notre analyse initiale indique qu’il s’agit d’une attaque non ciblée. »

Parmi les chercheurs en sécurité figure Jaime Blasco, cofondateur et directeur technique de l’éditeur de solutions de sécurité Nudge Security, qui a publié sur X le 26 décembre qu’il avait « des raisons de penser que d’autres extensions sont concernées ». « En se basant sur l’adresse IP, il y a d’autres domaines créés dans la même période qui se résolvent à la même adresse IP que cyberhavenext[.]pro », a-t-il relevé.

L’éditeur de solutions de cybersécurité Extension Total indique dans un rapport que 36 extensions malveillantes ont été détectées jusqu’à présent, ainsi qu’une liste d’applications potentiellement affectées. Une grande partie des applications figurant sur la liste impliquent l’IA générative et la technologie Web3.

Mais tout cela pourrait s’inscrire dans le cadre d’une campagne bien plus vaste et plus ancienne. Secure Annex, un autre fournisseur de solutions de sécurité pour les extensions, a observé une activité similaire dans d’autres extensions Chrome. John Tuckner, fondateur de Secure Annex, a déclaré dans un billet de blog du 26 décembre avoir « trouvé une partie du même code utilisé dans d’autres extensions remontant à mai 2024 » et qu’une extension compromise, un enregistreur de frappe, a été publiée le 6 octobre 2023.

Extension Total et Secure Annex ont observé que de nombreuses extensions malveillantes ont été supprimées et remplacées par de nouvelles versions légitimes. Toutefois, selon les deux entreprises, certaines extensions malveillantes n’ont pas encore fait l’objet de mesures correctives.