Một báo cáo chi tiết từ nhóm nghiên cứu đã tiết lộ một chiến dịch tấn công tinh vi nhằm vào các nhà phát triển tiện ích mở rộng Chrome. Chiến dịch này kết hợp lừa đảo, đánh cắp thông tin đăng nhập và chèn mã độc để xâm nhập cả nhà phát triển lẫn người dùng.
Phát hiện ban đầu vào ngày 24/12/2024 bởi công ty an ninh mạng Cyberhaven cho thấy một phiên bản bị chỉnh sửa của tiện ích Chrome của họ đã bị tải lên Chrome Web Store. Cuộc tấn công bắt nguồn từ việc lừa một nhân viên cấp quyền OAuth độc hại, mở đường cho kẻ tấn công xâm nhập và chỉnh sửa tiện ích.
Điều tra cho thấy ít nhất 35 Chrome extesion bị xâm nhập, ảnh hưởng đến hơn 2,5 triệu người dùng. Kẻ tấn công cũng đăng ký miền độc hại mới vào ngày 28/12/2024. Chiến dịch sử dụng email giả danh Google để lừa nhà phát triển cấp quyền cho ứng dụng độc hại, sau đó chèn mã nhằm đánh cắp dữ liệu, thiết lập Command-and-Control (C2) và đánh cắp dữ liệu nhạy cảm, bao gồm cookie.
Nhóm nghiên cứu đã xác định hơn 90 miền độc hại và 30 địa chỉ IP liên quan đến chiến dịch này và kêu gọi các tổ chức triển khai biện pháp bảo vệ kịp thời.
