Cyberhaven, ein Startup zur Verhinderung von Datenverlust, behauptet, Hacker hätten ein bösartiges Update seiner Chrome-Erweiterung veröffentlicht, das in der Lage sei, Kundenpasswörter und Sitzungstoken zu stehlen. Dies geht aus einer E-Mail hervor, die an betroffene Kunden gesendet wurde, die möglicherweise Opfer dieses mutmaßlichen Lieferkettenangriffs waren.
Cyberhaven bestätigte den Cyberangriff am Freitag gegenüber TechCrunch, lehnte es jedoch ab, sich zu Einzelheiten des Vorfalls zu äußern.
Eine an Kunden gesendete Unternehmens-E-Mail, eingeholt und veröffentlicht Laut dem Sicherheitsforscher Matt Johansen haben Hacker am Morgen des 25. Dezember ein Unternehmenskonto kompromittiert, um ein bösartiges Update für die Chrome-Erweiterung zu veröffentlichen. In der E-Mail heißt es, dass es für Kunden, die die kompromittierte Browsererweiterung ausführen, „möglich ist, vertrauliche Informationen, einschließlich authentifizierter Sitzungen und Cookies, zu erhalten, die in die Domäne des Angreifers exfiltriert werden.“
Cyberhaven-Sprecher Cameron Coles lehnte einen Kommentar zu der E-Mail ab, bestritt jedoch nicht deren Echtheit.
In einer kurzen Erklärung per E-Mail teilte Cyberhaven mit, dass sein Sicherheitsteam die Kompromittierung am Nachmittag des 25. Dezember entdeckt habe und dass die bösartige Erweiterung (Version 24.10.4) daraufhin aus dem Chrome Web Store entfernt worden sei. Kurz darauf wurde eine neue, legitime Version der Erweiterung (24.10.5) veröffentlicht.
Cyberhaven bietet Produkte zum Schutz vor Datenexfiltration und anderen Cyberangriffen, darunter Browsererweiterungen, die es dem Unternehmen ermöglichen, potenziell bösartige Aktivitäten auf Websites zu überwachen. Der Chrome Web Store wird angezeigt die Cyberhaven-Erweiterung hat zum Zeitpunkt des Schreibens rund 400.000 Benutzer von Unternehmenskunden.
Auf Nachfrage von TechCrunch wollte Cyberhaven nicht sagen, wie viele betroffene Kunden es über den Verstoß informiert hatte. Als Kunden nennt das in Kalifornien ansässige Unternehmen die Technologieriesen Motorola, Reddit und Snowflake sowie Anwaltskanzleien und Krankenversicherungsriesen.
Laut der E-Mail, die Cyberhaven an seine Kunden verschickte, sollten betroffene Benutzer „alle Passwörter“ und andere textbasierte Anmeldeinformationen wie API-Tokens „widerrufen“ und „rotieren“. Laut Cyberhaven sollten Kunden auch ihre eigenen Protokolle auf böswillige Aktivitäten überprüfen. (Sitzungstokens und Cookies für angemeldete Konten, die aus dem Browser des Benutzers gestohlen werden, können verwendet werden, um sich bei diesem Konto anzumelden, ohne dass ein Passwort oder ein Zwei-Faktor-Code erforderlich ist, wodurch Hacker diese Sicherheitsmaßnahmen effektiv umgehen können.)
In der E-Mail wird nicht angegeben, ob Kunden auch Anmeldeinformationen für andere im Chrome-Browser gespeicherte Konten ändern sollten, und ein Cyberhaven-Sprecher lehnte eine Angabe ab, als er von TechCrunch gefragt wurde.
Der E-Mail zufolge handelte es sich bei dem kompromittierten Unternehmenskonto um das „Google Chrome Store-Einzeladministratorkonto“. Cyberhaven sagte nicht, wie das Konto des Unternehmens kompromittiert wurde oder welche Sicherheitsrichtlinien des Unternehmens vorhanden waren, die eine Kompromittierung des Kontos ermöglichten. Das Unternehmen sagte in seiner kurzen Erklärung, dass es „eine umfassende Überprüfung unserer Sicherheitspraktiken eingeleitet hat und auf der Grundlage unserer Ergebnisse zusätzliche Schutzmaßnahmen implementieren wird“.
Cyberhaven sagte, es habe ein Incident-Response-Unternehmen beauftragt, bei dem es sich laut E-Mail an die Kunden um Mandiant handelt, und das „aktiv mit den Bundesbehörden zusammenarbeitet“.
Jaime Blasco, Mitbegründer und CTO von Nudge Security, sagte in Beiträgen auf X dass mehrere andere Chrome-Erweiterungen offensichtlich als Teil derselben Kampagne kompromittiert wurden, darunter mehrere Erweiterungen mit Zehntausenden von Benutzern.
Blasco sagte gegenüber TechCrunch, dass er die Angriffe immer noch untersucht und glaubt, dass zu diesem Zeitpunkt Anfang des Jahres weitere Erweiterungen kompromittiert wurden, darunter einige im Zusammenhang mit KI, Produktivität und VPNs.
„Es scheint, dass es nicht auf Cyberhaven abzielte, sondern eher opportunistisch auf Erweiterungsentwickler abzielte“, sagte Blasco. „Ich denke, sie haben alle möglichen Erweiterungen angestrebt, basierend auf ihren Entwickler-Referenzen.“
In seiner Erklärung gegenüber TechCrunch sagte Cyberhaven: „Öffentliche Berichte deuten darauf hin, dass dieser Angriff Teil einer umfassenderen Kampagne war, die auf Entwickler von Chrome-Erweiterungen in einer Vielzahl von Unternehmen abzielte.“ Derzeit ist unklar, wer für diese Kampagne verantwortlich ist, und weitere betroffene Unternehmen und deren Ausweitungen wurden noch nicht bestätigt.
