Op woensdag 25 december 2024 werd cybersecuritybedrijf Cyberhaven slachtoffer van een grootschalige aanval. 400.000 gebruikers werden geïnfecteerd met malware via hun Chrome-extensie.
Cyberhaven is een cybersecuritystartup die zich richt op Data Loss Prevention (DLP). Hun extensie helpt bedrijven te voorkomen dat gevoelige informatie op niet-goedgekeurde platforms wordt ingevoerd. Denk aan ChatGPT of Facebook.
De aanval begon op kerstavond (dinsdag), toen een beheerder van Cyberhaven een verontrustende e-mail ontving die beweerde dat hun Chrome-extensie in strijd was met het beleid van Google. Men zou de extensie verwijderen uit de Chrome Web Store. Dit blijkt uit een reconstructie van Medium.com.
Deze e-mail was echter een phishingpoging. De link in de e-mail leidde de beheerder naar een Google-toestemmingsscherm. Die vroeg hem toestemming voor een toepassing genaamd Privacy Policy Extension. Aanvallers beheerden deze applicatie. Zij kregen via deze toestemming toegang om nieuwe versies van de extensie te uploaden naar de Web Store.
Nadat de aanvaller toegang verkreeg, werd een kwaadaardige versie van de extensie geüpload. Hoewel Google een beveiligingscontrole uitvoert voor nieuwe extensies, was de kwaadaardige code al snel beschikbaar voor gebruikers. Omdat men extensies automatisch bijwerkt verspreidde de nieuwe versie zich naar ongeveer 400.000 gebruikers.
Gebruikersaccounts overnemen
Met de kwaadaardige code kunnen criminelen gevoelige informatie zoals wachtwoorden en cookies van gebruikers stelen. Dit stelde aanvallers in staat om gebruikersaccounts over te nemen en gevoelige data te bemachtigen. Een paar uur na de publicatie van de kwaadaardige versie werd het beveiligingsteam van Cyberhaven op de hoogte gesteld van de aanval. Zij namen direct actie om de kwaadaardige code te verwijderen. Op vrijdag 27 december bracht Cyberhaven een verklaring uit over de inbreuk. Dit veroorzaakte een schokgolf in de cybersecuritygemeenschap.
Meer partijen getroffen
Na de aanvallende activiteit op Cyberhaven werd verder onderzoek verricht, wat leidde tot de ontdekking dat tientallen andere populaire Chrome-extensies ook dezelfde kwaadaardige code bevatten. Het bleek dat de aanvallers niet alleen Cyberhaven raakten, maar ook bij ontwikkelaars van andere extensies infiltreerden. Naar schatting zijn meer dan een miljoen computers besmet met de kwaadaardige code via extensies zoals VPNCity en Reader Mode. Tot nu toe zijn er 16 geïdentificeerde extensies die zijn gecompromitteerd.
Men adviseert organisaties en individuele gebruikers om onmiddellijk te controleren of hun systemen besmet zijn. Een manier om dit te doen, is door de Indicatoren van Compromittering (IOC’s) te raadplegen die Cyberhaven heeft gedeeld. Om toekomstige aanvallen te voorkomen, raden experts aan om Version Pinning toe te passen, een techniek waarbij vooraf goedgekeurde versies van extensies worden vastgelegd. Dit voorkomt dat automatische updates van extensies kwaadaardige versies kunnen installeren.
Naast het beveiligen van specifieke extensies moeten bedrijven alert zijn op vergelijkbare kwetsbaarheden in andere software-ecosystemen, zoals IDE-extensies (bijv. Visual Studio Code) of codepakketten (zoals NPM of Pypi). Dit soort aanvallen vormt een klassiek probleem voor de softwareleveringsketen, waarbij bedrijven moeten balanceren tussen beveiliging en productiviteit.