データ損失防止の新興企業サイバーヘイブンは、このサプライチェーン攻撃と思われる攻撃の被害者である可能性がある影響を受けた顧客に送信された電子メールによると、ハッカーが顧客のパスワードとセッショントークンを盗むことができる同社のChrome拡張機能の悪意のあるアップデートを公開したと発表した。
Cyberhavenは金曜日、TechCrunchに対してサイバー攻撃を認めたが、事件の詳細についてはコメントを拒否した。
当社からお客様へお送りするメールでは、 入手して公開した セキュリティ研究者のマット・ヨハンセン氏によると、12月25日早朝、ハッカーが企業アカウントを侵害してChrome拡張機能の悪意のあるアップデートを公開したという。電子メールには、侵害されたブラウザ拡張機能を実行している顧客に対して、「機密情報が漏えいする可能性がある」と書かれていた。認証されたセッションと Cookie が含まれ、攻撃者のドメインに流出します。」
Cyberhavenの広報担当キャメロン・コールズ氏は電子メールについてのコメントを拒否したが、その信憑性には異議を唱えなかった。
Cyberhavenは電子メールで送った短い声明の中で、同社のセキュリティチームが12月25日午後に侵害を検知し、その後悪意のある拡張機能(バージョン24.10.4)がChromeウェブストアから削除されたと述べた。この拡張機能の新しい正規バージョン (24.10.5) がすぐにリリースされました。
Cyberhaven は、Web サイト上で潜在的に悪意のあるアクティビティを監視できるブラウザ拡張機能など、データ漏洩やその他のサイバー攻撃から保護する製品を提供しています。 Chrome ウェブストアで表示されるのは、 サイバーヘブン拡張機能 執筆時点で約 400,000 の法人顧客ユーザーがいます。
TechCrunchの質問に対し、Cyberhavenは侵害について通知した影響を受ける顧客の数については明らかにしなかった。カリフォルニアに本拠を置く同社は、テクノロジー大手の Motorola、Reddit、Snowflake のほか、法律事務所や医療保険大手も顧客として挙げています。
Cyberhaven が顧客に送信した電子メールによると、影響を受けるユーザーは、API トークンなどのテキストベースの認証情報を「すべて取り消し」、「すべてのパスワードを更新」する必要があります。 Cyberhavenは、顧客は悪意のある活動がないか自分のログを確認する必要があると述べた。 (ユーザーのブラウザから盗まれたログイン アカウントのセッション トークンと Cookie を使用すると、パスワードや 2 要素コードを必要とせずにそのアカウントにログインでき、ハッカーがこれらのセキュリティ対策を事実上回避できます。)
この電子メールには、顧客がChromeブラウザに保存されている他のアカウントの認証情報も変更する必要があるかどうかについては明記されておらず、Cyberhavenの広報担当者はTechCrunchの質問に対して明示を拒否した。
電子メールによると、侵害された企業アカウントは「Google Chrome ストアの単一管理者アカウント」でした。 Cyberhavenは、企業アカウントがどのように侵害されたのか、また、アカウントの侵害を許可する企業のセキュリティポリシーがどのようなものであったのかについては言及しなかった。同社は短い声明で、「当社のセキュリティ慣行の包括的な見直しを開始し、その結果に基づいて追加の保護措置を導入する」と述べた。
サイバーヘブンは、顧客への電子メールにはマンディアント社と書かれているインシデント対応会社を雇い、「連邦法執行機関と積極的に協力している」と述べた。
Nudge Security の共同創設者兼 CTO である Jaime Blasco 氏は次のように述べています。 X の投稿で 他のいくつかの Chrome 拡張機能は、明らかに同じキャンペーンの一部として侵害されており、その中には数万人のユーザーが参加するいくつかの拡張機能も含まれています。
Blasco 氏は TechCrunch に対し、攻撃についてはまだ調査中であり、現時点では今年初めに AI、生産性、VPN に関連する拡張機能など、さらに多くの拡張機能が侵害されたと考えていると語った。
「サイバーヘイブンをターゲットにしたものではなく、むしろ拡張機能開発者を日和見的にターゲットにしたようだ」とブラスコ氏は語った。 「彼らは、自分たちが持っていた開発者の資格情報に基づいて、可能な限りの拡張機能を追求したのだと思います。」
CyberhavenはTechCrunchへの声明の中で、「公開報告によれば、この攻撃は幅広い企業のChrome拡張機能開発者を標的とした広範なキャンペーンの一環であったことが示唆されている」と述べた。現時点では、このキャンペーンの責任者は不明であり、影響を受ける他の企業とその範囲はまだ確認されていません。
