En décembre 2024, une campagne de phishing sophistiquée a ciblé les développeurs d’extensions pour Google Chrome, permettant à des hackers de compromettre au moins 35 extensions et d’injecter un code malveillant destiné à voler les données sensibles des utilisateurs. Parmi les victimes figure notamment Cyberhaven, une entreprise spécialisée dans la prévention des pertes de données. Mais cette attaque s’est révélée bien plus large, touchant des millions d’utilisateurs.
Cyberhaven : le point de départ de l’attaque
Le 24 décembre, Cyberhaven a alerté ses clients d’un incident après que leur compte sur le Chrome Web Store ait été compromis via une attaque de phishing sophistiquée. Les hackers ont exploité cet accès pour publier une version malveillante de l’extension Cyberhaven (v24.10.4), qui incluait un code conçu pour exfiltrer des sessions authentifiées et des cookies vers un serveur contrôlé par les attaquants (cyberhavenext[.]pro).
Parmi les clients de Cyberhaven figurent des entreprises de renom comme Snowflake, Motorola, Canon, Reddit ou encore Kirkland & Ellis, ce qui démontre la portée critique de cette attaque.
L’équipe interne de Cyberhaven a réagi rapidement, supprimant la version compromise dans l’heure et publiant une mise à jour sécurisée (v24.10.5) deux jours plus tard. Toutefois, cet incident n’était que la partie émergée de l’iceberg.
Un détournement à plus grande échelle
En analysant les indices laissés par les attaquants, le chercheur Jaime Blasco de Nudge Security a découvert que la même méthode avait été utilisée pour compromettre d’autres extensions populaires, telles que :
- Internxt VPN – Free, Encrypted & Unlimited VPN (10 000 utilisateurs)
- VPNCity – Fast & Unlimited VPN (50 000 utilisateurs)
- Uvoice (40 000 utilisateurs)
- ParrotTalks (40 000 utilisateurs)
Selon d’autres analyses, des extensions comme VidHelper, ChatGPT Assistant ou encore Sort by Oldest figurent parmi les victimes. En tout, environ 2,6 millions d’utilisateurs auraient été touchés.
Une attaque bien orchestrée
L’attaque commence par un email de phishing, présenté comme une notification officielle de Google, signalant une violation des règles du Chrome Web Store. Les développeurs concernés sont redirigés vers une page OAuth légitime de Google, où ils sont invités à autoriser une application tierce malveillante nommée Privacy Policy Extension.
En accordant ces autorisations, les hackers obtiennent un contrôle total sur les extensions du développeur, leur permettant de publier des versions modifiées contenant un code malveillant. Notamment, les fichiers injectés comme worker.js et content.js visaient à collecter les données sensibles des utilisateurs.
Les données volées incluaient des identifiants Facebook, des jetons d’accès, des informations de comptes publicitaires et des cookies. Les attaquants ont même mis en place des mécanismes pour contourner l’authentification à deux facteurs, notamment en capturant des QR codes ou des interactions spécifiques des utilisateurs sur Facebook. Ces informations permettaient de prendre le contrôle de comptes Facebook professionnels pour effectuer des paiements frauduleux, lancer des campagnes malveillantes ou vendre ces accès à d’autres cybercriminels.
Comment se protéger ?
Si vous utilisez l’une des extensions mentionnées, voici les étapes à suivre :
- Désinstallez l’extension ou vérifiez qu’elle a été mise à jour après le 26 décembre 2024.
- Réinitialisez les mots de passe de vos comptes les plus importants, notamment ceux liés à vos comptes professionnels.
- Effacez les données de votre navigateur web (Chrome, Brave, Opera…) et réinitialisez ses paramètres par défaut.
Pour plus de détails sur le fonctionnement du code malveillant et des conseils pour détecter une compromission, consultez l’analyse complète de Keep Aware.
En conclusion
Cette campagne de phishing illustre à quel point les extensions de navigateur peuvent être une porte d’entrée pour les cyberattaques. Même avec des mécanismes de protection avancés comme l’authentification multifacteur, une mauvaise compréhension des autorisations OAuth peut avoir des conséquences désastreuses.
Restez vigilants et limitez l’installation d’extensions aux sources absolument nécessaires. Et surtout, n’accordez jamais d’autorisations sans examiner attentivement leurs implications !