MÜNCHEN (IT BOLTWISE) – Eine neue Angriffskampagne hat bekannte Chrome-Browser-Erweiterungen ins Visier genommen und mindestens 16 Erweiterungen kompromittiert, wodurch über 600.000 Nutzer der Gefahr von Datendiebstahl ausgesetzt wurden.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
In einer alarmierenden Entwicklung wurden kürzlich mindestens 16 Chrome-Erweiterungen gehackt, was über 600.000 Nutzer weltweit einem erheblichen Risiko von Datendiebstahl aussetzt. Diese Angriffe zielten auf die Herausgeber von Browser-Erweiterungen im Chrome Web Store ab, indem sie eine Phishing-Kampagne nutzten, um Zugang zu erhalten und bösartigen Code in legitime Erweiterungen einzuschleusen. Diese bösartigen Codes wurden verwendet, um Cookies und Zugriffstoken der Nutzer zu stehlen.
Die erste bekannte Firma, die von diesem Angriff betroffen war, ist das Cybersicherheitsunternehmen Cyberhaven. Am 27. Dezember gab Cyberhaven bekannt, dass ein Angreifer seine Browser-Erweiterung kompromittiert und schädlichen Code eingefügt hatte, der mit einem externen Command-and-Control-Server kommunizierte. Dieser Server befand sich auf der Domain cyberhavenext[.]pro und wurde genutzt, um zusätzliche Konfigurationsdateien herunterzuladen und Nutzerdaten zu exfiltrieren.
Or Eshed, CEO von LayerX Security, einem auf Browser-Erweiterungssicherheit spezialisierten Unternehmen, betont die Gefahren, die von Browser-Erweiterungen ausgehen. “Browser-Erweiterungen sind der weiche Unterbau der Websicherheit”, erklärt Eshed. “Obwohl wir dazu neigen, sie als harmlos zu betrachten, werden ihnen in der Praxis häufig umfangreiche Berechtigungen für sensible Nutzerinformationen gewährt.”
Nachdem die Nachricht über den Cyberhaven-Vorfall bekannt wurde, konnten schnell weitere kompromittierte Erweiterungen identifiziert werden, die mit demselben Command-and-Control-Server kommunizierten. Jamie Blasco, CTO des SaaS-Sicherheitsunternehmens Nudge Security, entdeckte zusätzliche Domains, die auf dieselbe IP-Adresse des für den Cyberhaven-Angriff verwendeten Servers auflösten.
Zu den derzeit verdächtigten kompromittierten Erweiterungen gehören unter anderem: AI Assistant – ChatGPT und Gemini für Chrome, Bard AI Chat Extension, GPT 4 Summary mit OpenAI Search, Copilot AI Assistant für Chrome und viele mehr. Diese zusätzlichen kompromittierten Erweiterungen deuten darauf hin, dass Cyberhaven nicht das einzige Ziel war, sondern Teil einer breit angelegten Angriffskampagne, die auf legitime Browser-Erweiterungen abzielt.
Die Analyse der kompromittierten Cyberhaven-Erweiterung zeigt, dass der bösartige Code auf Identitätsdaten und Zugriffstoken von Facebook-Konten abzielte, insbesondere auf Facebook-Geschäftskonten. Cyberhaven berichtet, dass die bösartige Version der Browser-Erweiterung etwa 24 Stunden nach ihrer Aktivierung entfernt wurde. Einige der anderen betroffenen Erweiterungen wurden ebenfalls bereits aktualisiert oder aus dem Chrome Web Store entfernt.
Or Eshed warnt jedoch, dass die Entfernung aus dem Chrome Store nicht bedeutet, dass die Gefahr gebannt ist. “Solange die kompromittierte Version der Erweiterung noch auf dem Endgerät aktiv ist, können Hacker weiterhin darauf zugreifen und Daten exfiltrieren”, erklärt er. Sicherheitsexperten suchen weiterhin nach weiteren gefährdeten Erweiterungen, doch die Raffinesse und das Ausmaß dieser Angriffskampagne erhöhen den Druck auf viele Organisationen, ihre Browser-Erweiterungen besser zu sichern.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Gefährliche Sicherheitslücke: 16 Chrome-Erweiterungen kompromittiert".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Gefährliche Sicherheitslücke: 16 Chrome-Erweiterungen kompromittiert" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Gefährliche Sicherheitslücke: 16 Chrome-Erweiterungen kompromittiert" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.