Chrome Extension の危機:16種類の拡張機能をハックするキャンペーンが発覚

16 Chrome Extensions Hacked, Exposing Over 600,000 Users to Data Theft

2024/12/29 TheHackerNews — Chrome ブラウザのエクステンションを標的にする、新たな攻撃キャンペーンが発見された。この攻撃では、少なくとも 16 個のエクステンションが侵害され、60万人以上のユーザーが、データ漏洩や認証情報窃取の危険に直面する状況となっている。この攻撃は、Chrome Web Store のブラウザ・エクステンションの発行者を、フィッシング・キャンペーンの標的として侵害し、そのアクセス権限を悪用することで正規のエクステンションに悪意のコードを挿入し、ユーザーのクッキーやアクセス・トークンを盗み出すものだ。最初に被害を受けたエクステンション発行者は、サイバー・セキュリティ企業 Cyberhaven である。

2024年12月27日に Cyberhaven は、脅威アクターにより自社のブラウザ・エクステンションが侵害されたことを明らかにした。具体的に言うと、エクステンションに挿入された悪意のコードにより、ドメイン “cyberhavenext[.]pro” に配置された C2 サーバとの通信が確立され、悪意のコンフィグ・ファイルがダウンロードされ、最終的にはユーザー・データが盗み出されてしまったという。

ブラウザ・エクステンションのセキュリティを専門とする LayerX Security の CEO である Or Eshed は、「ブラウザ・エクステンションは、Web セキュリティの弱点である。この仕組みは無害だと思われがちだが、実際には、クッキー/アクセス・トークン/ID 情報などが盗み出され、機密性の高いユーザー情報に対する広範な権限が、攻撃者に付与されることがよくある。多くの組織は、個々のユーザーが管理するエンドポイントに、インストールされているエクステンションの種類を知らないため、どの程度の危険にさらされているかを認識できない」と指摘している。

Cyberhaven 侵害のニュースが報じられた後に、同じ攻撃者に管理される C2 サーバと通信していた、その他のエクステンションが直ちに特定された。

SaaS セキュリティ企業 Nudge Security の CTO である Jamie Blasco は、Cyberhaven 侵害に使用された C2 サーバと同じ IP アドレスに解決されるドメインを特定した。

現時点において、侵害されたと疑われるブラウザ・エクステンションは以下のとおりである:

  • AI Assistant – ChatGPT and Gemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMInd AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vindoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus

これらの侵害されたエクステンションが示すのは、Cyber​​haven が単発のターゲットではなく、正当なブラウザ・エクステンションをターゲットにする、大規模な攻撃キャンペーンの一部であることだ。

侵害された Cyberhaven の分析により、悪意のコードは Facebook アカウントをターゲットにするものであり、特に Facebook ビジネス・アカウントの ID データとアクセス・トークンが狙われていることが明らかになった。

User data collected by the compromised Cyberhaven browser extension
(source: Cyberhaven)

Cyberhaven によると、ブラウザ・エクステンションの悪意のバージョンは、公開されてから約 24 時間後に削除されたという。侵害が発覚した他のエクステンションの一部も、すでに Chrome Web Store から更新/削除されている。

Or Eshed は、「Chrome Store から悪意のエクステンションが削除されても、侵害が終了したわけではない。 侵害されたエクステンションがエンドポイント上で稼働している限り、そこのアクセスするハッカーは、データを盗み出せる」と指摘している。

このセキュリティ研究者は、その他の侵害されたエクステンションを探し続けているが、この攻撃キャンペーンの巧妙さと広大な範囲により、その作業は困難を極めているという。多くの組織にとって必要なことは、ブラウザ・エクステンションのセキュリティの確保である。

Chrome エクステンションへの攻撃により、Cyberhaven に被害が生じていることは、すでに 2024/12/26 の「Cyberhaven で発生した侵害:改竄された Chrome エクステンションが Web ストアに流出」 で、お伝えしています。そのときには、Cyberhaven だけに起こったインシデントなのかと思っていましたが、かなりの規模のキャンペーンが展開されているようです。問題となるエクステンションが、文中にリトアップされていますので、ご確認ください。