Startup ter voorkoming van gegevensverlies Cyberhaven zegt dat hackers een kwaadaardige update hebben gepubliceerd voor de Chrome-extensie die in staat was wachtwoorden van klanten en sessietokens te stelen, volgens een e-mail die is verzonden naar getroffen klanten, die mogelijk het slachtoffer zijn geworden van deze vermoedelijke supply chain-aanval.
Cyberhaven bevestigde de cyberaanval vrijdag aan TechCrunch, maar weigerde commentaar te geven op details over het incident.
Een e-mail van het bedrijf verzonden naar klanten, verkregen en gepubliceerd door beveiligingsonderzoeker Matt Johansen, zei dat de hackers een bedrijfsaccount hebben gecompromitteerd om in de vroege ochtend van 25 december een kwaadaardige update voor de Chrome-extensie te publiceren. In de e-mail staat dat voor klanten die de gecompromitteerde browserextensie gebruiken, “het mogelijk is dat gevoelige informatie, inclusief geverifieerde sessies en cookies, die naar het domein van de aanvaller kunnen worden geëxfiltreerd.”
Cyberhaven-woordvoerder Cameron Coles weigerde commentaar te geven op de e-mail, maar betwistte de authenticiteit ervan niet.
In een korte verklaring per e-mail zegt Cyberhaven dat zijn beveiligingsteam de inbreuk in de middag van 25 december heeft ontdekt en dat de kwaadaardige extensie (versie 24.10.4) vervolgens uit de Chrome Web Store is verwijderd. Kort daarna werd een nieuwe legitieme versie van de extensie (24.10.5) uitgebracht.
Cyberhaven biedt producten aan die naar eigen zeggen beschermen tegen data-exfiltratie en andere cyberaanvallen, waaronder browserextensies, waarmee het bedrijf kan controleren op mogelijk kwaadaardige activiteiten op websites. De Chrome Web Store wordt weergegeven de uitbreiding van de Cyberhaven heeft op het moment van schrijven ongeveer 400.000 zakelijke klanten.
Op vraag van TechCrunch weigerde Cyberhaven te zeggen hoeveel getroffen klanten het op de hoogte had gesteld van de inbreuk. Het in Californië gevestigde bedrijf noemt technologiegiganten Motorola, Reddit en Snowflake als klanten, evenals advocatenkantoren en zorgverzekeraars.
Volgens de e-mail die Cyberhaven naar zijn klanten heeft gestuurd, moeten getroffen gebruikers alle wachtwoorden en andere op tekst gebaseerde inloggegevens, zoals API-tokens, “intrekken” en “roteren”. Cyberhaven zei dat klanten ook hun eigen logbestanden moeten controleren op kwaadaardige activiteiten. (Sessietokens en cookies voor ingelogde accounts die uit de browser van de gebruiker worden gestolen, kunnen worden gebruikt om in te loggen op dat account zonder dat hun wachtwoord of tweefactorcode nodig is, waardoor hackers deze beveiligingsmaatregelen effectief kunnen omzeilen.)
De e-mail specificeert niet of klanten ook inloggegevens moeten wijzigen voor andere accounts die zijn opgeslagen in de Chrome-browser, en de woordvoerder van Cyberhaven weigerde dit te specificeren toen TechCrunch daarom vroeg.
Volgens de e-mail was het gecompromitteerde bedrijfsaccount het ‘enige beheerdersaccount voor de Google Chrome Store’. Cyberhaven zei niet hoe het bedrijfsaccount werd gecompromitteerd, of welk bedrijfsbeveiligingsbeleid er was dat het mogelijk maakte dat het account werd gecompromitteerd. Het bedrijf zei in zijn korte verklaring dat het “een alomvattende evaluatie van onze beveiligingspraktijken heeft geïnitieerd en aanvullende veiligheidsmaatregelen zal implementeren op basis van onze bevindingen.”
Cyberhaven zei dat het een incidentresponsbedrijf heeft ingehuurd, waarvan de e-mail aan klanten zegt dat het Mandiant is, en dat het “actief samenwerkt met de federale wetshandhaving.”
Jaime Blasco, mede-oprichter en CTO van Nudge Security, zei in berichten op X dat verschillende andere Chrome-extensies zijn gecompromitteerd omdat ze blijkbaar deel uitmaken van dezelfde campagne, waaronder verschillende extensies met tienduizenden gebruikers.
Blasco vertelde TechCrunch dat hij de aanvallen nog steeds onderzoekt en gelooft op dit moment dat er eerder dit jaar meer extensies zijn gecompromitteerd, waaronder enkele met betrekking tot AI, productiviteit en VPN’s.
„Het lijkt erop dat het niet gericht was tegen Cyberhaven, maar eerder opportunistisch gericht was tegen ontwikkelaars van extensies“, aldus Blasco. „Ik denk dat ze achter de extensies aan gingen die ze konden, op basis van de inloggegevens van de ontwikkelaars die ze hadden.“
In zijn verklaring aan TechCrunch zei Cyberhaven dat “openbare rapporten suggereren dat deze aanval deel uitmaakte van een bredere campagne om ontwikkelaars van Chrome-extensies in een breed scala van bedrijven te targeten.” Op dit moment is het onduidelijk wie verantwoordelijk is voor deze campagne, en andere getroffen bedrijven en hun verlengingen moeten nog worden bevestigd.
