Cyberhaven Chrome Extension Compromised in Targeted Attack
2024/12/26 SecurityOnline — 2024年12月24日に、データ保護企業である Cyberhaven の Chrome エクステンションが、標的型攻撃により改ざんされた。同社の声明によると、攻撃者は Cyberhaven の従業員アカウントに不正アクセスし、 Cyberhaven Chrome エクステンションの悪意のバージョン (24.10.4) を、Chrome Web ストアで公開したという。
Cyberhaven の社内セキュリティ・チームは、2024年12月25日 PM 11:54 (UTC) に侵害を検知し、そこから 60分もかけずに、この悪意のパッケージを削除した。
このような形で侵害された、悪意のエクステンション・バージョンをインストール/更新したユーザーには、重大なリスクが発生した。Cyberhaven によると、「不正なプラグインを実行しているブラウザでは、認証済みセッションやクッキーなどの機密情報が、攻撃者のドメイン (cyberhavennext[.]pro) に流出する可能性がある」という。攻撃者のドメインは、2024年12月25日午前1時32分 (UTC) 〜翌 26日の AM 2:50 (UTC) の時間帯で稼働していた。
影響を受けたユーザーに対して Cyberhaven が推奨する、このリスクの軽減策は以下の通りだ:
- Chrome エクステンションが、バージョン 24.10.5 以降に更新されていることを確認する。
- FIDOv2 で保護されていない、すべてのパスワードを無効化/変更する。
- すべての API トークンを無効化/変更する。
- すべてのログを確認し、悪意の活動の証拠を調査する。
なお、Chrome Web ストア外でホストされている、Firefox/Edge 用のエクステンションなどは影響を受けない。
Cyberhaven は、このインシデントを調査中であり、連邦法執行機関および Mandiant に協力を依頼している。また、状況の進展に応じて、顧客に対して追加のテレメトリ測定/脅威インテリジェンスを提供する作業も進めている。
Cyberhaven は、「我々の基本理念のひとつに、最大限の透明性がある。我々は、この原則に基づいて行動し、ユーザーから得た信頼を維持している」と、顧客への情報提供とサポートを継続する姿勢を示している。
機密データを保護するため、ユーザーに求められるのは、警戒を怠らず Cyberhaven の推奨事項に従うことだ。
Cyberhaven が侵害され、同社の Chrome エクステンションの悪意のバージョンが、Chrome Web ストアで公開されたとのことです。いろいろな攻撃シナリオがありますが、今回のケースは初めてのことだと思います。Cyberhaven のエクステンションを利用しているチームは、ご注意ください。よろしければ、Chrome + Extension で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.