12月29日、BleepingComputerは、少なくとも5つのChrome拡張機能が最近、協調攻撃を受け、攻撃者が悪意のあるコードを挿入してユーザーの機密情報を盗んだと報じました。データ損失防止企業のCyber​​havenは、12月24日にGoogle Chromeストアの管理アカウントへのフィッシング攻撃が成功したことを初めて公表しました。

Cyber​​havenの顧客には、Snowflake、Motorola、Canon、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS Bank、Upstart、Kirkland & Ellisといった有名企業が含まれています。攻撃者はCyber​​haven従業員のアカウントを乗っ取り、Cyber​​haven拡張機能の悪意のあるバージョン（バージョン24.10.4）をリリースしました。このバージョンには、検証済みのセッションデータとCookieデータを攻撃者が管理するドメイン（cyberhavenext[.]pro）に漏洩する可能性のあるコードが含まれていました。

サイバーヘイブンは顧客へのメールで、社内のセキュリティチームが検出後1時間以内にマルウェアを削除し、拡張機能のクリーンバージョン（バージョン24.10.5）が12月26日にリリースされたと述べています。サイバーヘイブンChrome拡張機能のユーザーは、最新バージョンにアップグレードすることに加えて、FIDOv2以外のパスワードをすべて取り消し、すべてのAPIトークンをローテーションし、ブラウザのログで悪意のあるアクティビティを確認するようにアドバイスされています。

サイバーヘイブンの開示を受けて、Nudge Securityの研究員であるジェイミー・ブラスコ氏は、攻撃者のIPアドレスと登録ドメインに基づいて詳細な調査を実施しました。ブラスコ氏は、拡張機能が攻撃者からの指示を受け取るために使用された悪意のあるコードスニペットが、同時期にUvoiceやParrotTalksを含む他の4つのChrome拡張機能にも挿入されていたことを発見しました。ブラスコ氏はさらに、他の潜在的な被害者を指し示すドメインも発見しましたが、悪意のあるコードスニペットが含まれていたことが確認されたのは、上記の4つの拡張機能のみでした。

ユーザーは、これらの拡張機能をブラウザから削除するか、12月26日以降にリリースされ、セキュリティ問題が修正されたことが確認されている安全なバージョンにアップグレードすることをお勧めします。拡張機能の発行者がセキュリティ問題を認識し、修正したかどうか不明な場合は、拡張機能をアンインストールし、重要なアカウントのパスワードをリセットし、ブラウザデータを消去し、ブラウザ設定を元のデフォルト設定に戻すことをお勧めします。(Yuanyang)