La start-up de prévention de perte de données Cyberhaven affirme que des pirates ont publié une mise à jour malveillante de son extension Chrome capable de voler les mots de passe et jetons de session des clients, selon un e-mail envoyé aux clients concernés, qui pourraient avoir été victimes de cette attaque présumée de la chaîne d'approvisionnement.
Cyberhaven a confirmé l'attaque informatique à TechCrunch vendredi mais a refusé de commenter les détails de l'incident.
Un e-mail de l'entreprise envoyé aux clients, obtenu et publié par le chercheur en sécurité Matt Johansen, a déclaré que les pirates avaient compromis un compte de l'entreprise pour publier une mise à jour malveillante de son extension Chrome tôt le matin du 25 décembre. L'e-mail a indiqué que pour les clients utilisant l'extension de navigateur compromise,
possibilité que des informations sensibles, y compris des sessions authentifiées et des cookies, soient exfiltrées vers le domaine de l'attaquant.
Le porte-parole de Cyberhaven, Cameron Coles, a refusé de commenter l'e-mail mais n'a pas contesté son authenticité.
Dans une brève déclaration par e-mail, Cyberhaven a déclaré que son équipe de sécurité avait détecté la compromission dans l'après-midi du 25 décembre et que l'extension malveillante (version 24.10.4) avait ensuite été supprimée du Chrome Web Store. Une nouvelle version légitime de l'extension (24.10.5) a été publiée peu de temps après.
Cyberhaven propose des produits qui, selon elle, protègent contre l'exfiltration de données et d'autres cyberattaques, y compris des extensions de navigateur, qui permettent à l'entreprise de surveiller les activités potentiellement malveillantes sur les sites Web.
La boutique Google Chrome montre que l'extension Cyberhaven compte environ 400 000 utilisateurs professionnels au moment de la rédaction de l'article.
Lorsqu'on lui a demandé par TechCrunch, Cyberhaven a refusé de dire combien de clients affectés il avait notifiés concernant la violation. L'entreprise californienne compte parmi ses clients des géants de la technologie tels que Motorola, Reddit et Snowflake, ainsi que des cabinets d'avocats et des géants de l'assurance santé.
Conformément à l'e-mail que Cyberhaven a envoyé à ses clients, les utilisateurs concernés doivent révoquer et changer tous les mots de passe et autres informations d'identification textuelles, tels que les jetons API. Cyberhaven a déclaré que les clients devraient également examiner leurs propres journaux pour détecter des activités malveillantes. (Les tokens de session et les cookies pour les comptes connectés qui sont volés depuis le navigateur de l'utilisateur peuvent être utilisés pour se connecter à ce compte sans avoir besoin de leur mot de passe ou de leur code à deux facteurs, permettant efficacement aux pirates de contourner ces mesures de sécurité.)
L'e-mail ne précise pas si les clients devraient également changer les informations d'identification pour d'autres comptes stockés dans le navigateur Chrome, et le porte-parole de Cyberhaven a refusé de le préciser lorsque TechCrunch l'a demandé.
Conformément à l'e-mail, le compte de l'entreprise compromis était le
seul compte administrateur pour le Google Chrome Store. Cyberhaven n'a pas précisé comment le compte de l'entreprise a été compromis, ou quelles politiques de sécurité d'entreprise étaient en place qui ont permis la compromission du compte. L'entreprise a déclaré dans son bref communiqué qu'elle avait «entamé un examen complet de nos pratiques de sécurité et mettrait en place des mesures de protection supplémentaires selon nos conclusions».
Cyberhaven a déclaré qu'elle avait engagé un cabinet d'intervention en cas d'incident, que l'e-mail aux clients indique être Mandiant, et qu'elle «coopère activement avec les autorités fédérales».
Jaime Blasco, co-fondateur et CTO de Nudge Security, a déclaré dans des publications sur X que plusieurs autres extensions Chrome avaient été compromises apparemment dans le cadre de la même campagne, y compris plusieurs extensions comptant des dizaines de milliers d'utilisateurs.
Blasco a déclaré à TechCrunch qu'il enquêtait encore sur les attaques et qu'il croyait à ce stade qu'il y avait d'autres extensions compromises plus tôt cette année, y compris certaines liées à l'IA, à la productivité et aux VPN.
«Il semble que ce n'était pas une attaque ciblée contre Cyberhaven, mais qu'elle visait plutôt de façon opportuniste les développeurs d'extensions», a déclaré Blasco. «Je pense qu'ils ont visé les extensions qu'ils pouvaient en fonction des informations d'identification des développeurs qu'ils détenaient.»
Dans sa déclaration à TechCrunch, Cyberhaven a déclaré que «les rapports publics suggèrent que cette attaque faisait partie d'une campagne plus large visant les développeurs d'extensions Chrome dans un large éventail d'entreprises». À ce stade, il n'est pas clair qui est responsable de cette campagne, et d'autres entreprises affectées et leurs extensions doivent encore être confirmées.
