El Ciberataque Impacta Extensiones Legítimas de Chrome, Expone Datos Sensibles de Usuarios

Un ciberataque coordinado comprometió al menos cinco extensiones de Google Chrome, inyectando un código malicioso diseñado para robar información sensible del usuario, según informó Bleeping Computer.

La brecha fue revelada por primera vez el 24 de diciembre por Cyberhaven, una empresa de prevención de pérdida de datos, que alertó a sus clientes después de que un ataque de phishing tuvo éxito al apuntar a una cuenta de administrador de la Chrome Web Store.

Nuestro equipo ha confirmado un ciberataque malicioso que ocurrió en la víspera de Navidad, afectando la extensión de Chrome de Cyberhaven. Aquí está nuestra publicación sobre el incidente y los pasos que estamos tomando: https://t.co/VTBC73eWda

Nuestro equipo de seguridad está disponible 24/7 para ayudar a los clientes afectados y…

— Cyberhaven (@CyberhavenInc) 27 de diciembre de 2024

Bleeping Computer explica que el ataque permitió al hacker secuestrar la cuenta del administrador y publicar una versión maliciosa de la extensión Cyberhaven. Esta versión incluía un código que podía robar sesiones autenticadas y cookies, enviándolas al dominio del atacante.

Entre los clientes de Cyberhaven afectados por la brecha se encuentran grandes empresas como Snowflake, Motorola, Canon, Reddit y Kirkland & Ellis. El equipo de seguridad interno de Cyberhaven eliminó la extensión maliciosa dentro de una hora después de su detección, según lo informado por Bleeping Computer.

Cyberhaven atribuye el ataque a un correo electrónico de phishing, declarando en un análisis técnico separado que el código parecía estar específicamente diseñado para atacar cuentas de Facebook Ads.

TechCrunch señaló que la Chrome Web Store tiene aproximadamente 400,000 usuarios corporativos para la extensión de Cyberhaven. Cuando TechCrunch preguntó, Cyberhaven se negó a revelar el número de clientes afectados a los que había notificado sobre la brecha.

En respuesta, se publicó una versión limpia de la extensión el 26 de diciembre. Cyberhaven aconsejó a sus usuarios que actualizaran a esta última versión y que tomaran precauciones adicionales, como verificar que la extensión se haya actualizado a la versión 24.10.5 o más reciente.

Además, Cyberhaven aconseja revocar y rotar cualquier contraseña que no utilice FIDOv2, y revisar los registros de su navegador en busca de cualquier actividad sospechosa.

Bleeping Computer señala que el incidente se extendió más allá de la extensión de Cyberhaven, con investigaciones adicionales que revelaron que varias otras extensiones de Chrome también se vieron afectadas. El investigador de seguridad de Nudge, Jaime Blasco, rastreó los orígenes del ataque analizando las direcciones IP y los dominios del atacante.

Respecto al compromiso de la extensión de Chrome de Cyberhaven, tengo razones para creer que hay otras extensiones afectadas. Al pivotar por la dirección IP, hay más dominios creados en el mismo rango de tiempo que se resuelven a la misma dirección IP que cyberhavenext[.]pro (cont)

— Jaime Blasco (@jaimeblascob) 27 de diciembre de 2024

Blasco confirmó que el fragmento de código malicioso se inyectó en varias extensiones al mismo tiempo, tal como informó Bleeping Computer.

Estas incluyen Internxt VPN, que tiene 10,000 usuarios, VPNCity, un servicio de VPN centrado en la privacidad con 50,000 usuarios, Uvoice, un servicio basado en recompensas con 40,000 usuarios, y ParrotTalks, una herramienta para tomar notas con 40,000 usuarios.

Bleeping Computer indica que, aunque Blasco identificó posibles víctimas adicionales, solo las extensiones mencionadas anteriormente se han confirmado que contienen el código malicioso. Se insta a los usuarios de estas extensiones afectadas a que las eliminen o se aseguren de actualizar a las versiones seguras lanzadas después del 26 de diciembre.

Para aquellos que no están seguros de la seguridad de sus extensiones, se recomienda desinstalar las extensiones afectadas, restablecer contraseñas importantes, borrar los datos del navegador y restaurar las configuraciones del navegador a sus valores predeterminados.