2024年12月27日,Bleepingcomputer和Cybersecurity News报道了数据丢失防护(DLP)解决方案提供商Cyberhaven的Chrome扩展程序遭到黑客入侵的事件。2024年12月24日,黑客通过入侵管理员帐户成功发布了恶意更新(版本24.10.4),该更新于12月25日凌晨自动部署至用户的浏览器。恶意更新的扩展程序导致用户的敏感数据泄露,包括身份验证会话和Cookie,泄露的目标域为cyberhavenext[.]pro。该泄露的影响时间为12月25日凌晨1:32至12月26日凌晨2:50,期间泄露的数据对用户的安全构成严重威胁。Cyberhaven的安全团队于12月25日晚上11:54检测到入侵,并在一小时内删除了恶意代码。随后的24.10.5版本于12月26日发布,修复了漏洞,并删除了恶意脚本。公司还计划发布版本24.10.6,增强遥测功能以识别受影响的终端。受影响的用户被建议更新扩展至24.10.5或更高版本,撤销并轮换未使用FIDOv2保护的密码及API令牌,并检查活动日志是否有可疑行为。此外,Cyberhaven指出,Chrome网上应用商店外的扩展版本(如Firefox和Edge版本)未受此次攻击影响。为了进一步调查此次事件,Cyberhaven已聘请了联邦执法部门和网络安全公司Mandiant,强调将保持透明度,以维护客户的信任。
事件概述
领先的数据丢失防护(DLP)解决方案提供商Cyberhaven的Chrome扩展程序遭遇重大攻击。至少有五个Chrome扩展程序在一次协同攻击中遭到入侵,威胁行为者注入了窃取用户敏感信息的代码。
Cyberhaven的客户包括Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS、Upstart和Kirkland & Ellis。
黑客劫持了员工的账户并发布了Cyberhaven扩展的恶意版本(24.10.4),其中包含可以将经过身份验证的会话和cookie泄露到攻击者域 (cyberhavenext[.]pro)的代码。
该泄露域从UTC时间12月25日凌晨1:32一直活跃到12月26日凌晨2:50,对用户的数据安全构成了严重风险。
紧急响应
Cyberhaven在给客户的电子邮件中表示,Cyberhaven的内部安全团队在发现恶意软件后一小时内就将其删除。
12月26日发布了干净的版本 (24.10.5),删除了恶意代码。Cyberhaven还在准备一个附加更新 (24.10.6),该更新具有遥测功能,可帮助识别受影响的端点。
危害可能更大
在Cyberhaven披露这一信息后,Nudge Security研究员Jaime Blasco进一步展开调查,重点关注攻击者的IP地址和注册域名。
据Blasco称,允许扩展程序接收攻击者命令的恶意代码片段也在同一时间被注入到其他Chrome扩展程序中:
Internxt VPN – 免费、加密、无限制的VPN,用于安全浏览。(10,000名用户)
VPNCity——注重隐私的 VPN,具有 AES 256 位加密和全球服务器覆盖。(50,000名用户)
Uvoice –通过调查赚取积分并提供 PC 使用数据,以此作为奖励的服务。(40,000名用户)
ParrotTalks –专注于文本和无缝笔记的信息搜索工具。(40,000名用户)
Blasco发现了更多指向其他潜在受害者的域名,但只有上述扩展名被确认携带恶意代码片段。
怎么办?
受感染的扩展程序可能会泄露运行 24.10.4 版本的浏览器中的敏感信息。作为回应,Cyberhaven 为受影响的用户发布了以下建议:
更新扩展:确保其更新到24.10.5或更新版本。
轮换凭证:撤销并轮换所有不受FIDOv2保护的密码和所有API令牌。
查看活动日志:检查是否有可疑活动的迹象。
请勿卸载扩展:保留它可能会保留对分析有用的取证资料。
Cyberhaven确认,Chrome网上应用店之外托管的扩展程序版本(例如Firefox或Edge的版本)不受影响。
Cyberhaven已聘请联邦执法部门和网络安全公司Mandiant进一步调查此次入侵事件。该公司强调了其对透明度和客户信任的承诺,并表示:“我们正在按照最大透明度的核心价值观行事,以保留我们从您那里赢得的信任。”
【自己号称数据安全检测与响应,这下尴尬了,还得请曼迪昂特出手来调查】
安全专家建议,这些扩展程序的用户将其从浏览器中删除,或在确保发布者了解安全问题并修复后升级到12月26日之后发布的安全版本。如果不确定,最好卸载扩展程序,重置重要帐户口令,清除浏览器数据,并将浏览器设置重置为原始默认值。
