メール内のリンクから、Google の同意画面が表示され、アクセス許可が要求されます。 OAuth プライバシー ポリシー拡張機能という名前のアプリケーション。 Cyberhaven の開発者が許可を付与し、その過程で攻撃者は知らないうちに、Cyberhaven の Chrome 拡張機能の新しいバージョンを Chrome ウェブストアにアップロードできるようになりました。その後、攻撃者はその権限を使用して、悪意のあるバージョン 24.10.4 をプッシュしました。
12 月 25 日の早朝に攻撃の情報が広まると、開発者や研究者は、他の拡張機能も同じスピア フィッシング キャンペーンの標的となり、多くの場合は成功していることを発見しました。ブラウザ拡張機能の分析および管理会社である Security Annex の創設者である John Tuckner 氏は、木曜日午後の時点で、同様に侵害された他の 19 の Chrome 拡張機能を知っていると述べました。いずれの場合も、攻撃者はスピア フィッシングを使用して、新しい悪意のあるバージョンとカスタムの類似ドメインをプッシュし、ペイロードを発行して認証資格情報を受け取りました。 20 の拡張機能を合計すると 146 万ダウンロードがありました。
「私が話を聞いた多くの人にとって、ブラウザ拡張機能の管理はセキュリティ プログラムの中で優先度が低い項目である可能性があります」と Tuckner 氏は電子メールで書いています。 「人々はそれらが脅威となる可能性があることを知っていますが、チームがそれらに対して行動を起こすことはほとんどありません。セキュリティ業界では、1 つまたは 2 つのインシデントが組織のセキュリティ体制の再評価を引き起こす可能性があることをよく目にします。このようなインシデントが発生すると、チームは組織への影響を可視化し、理解する方法を見つけるために大慌てすることがよくあります。」
最初の侵害は 2024 年 5 月に発生しました。Tuckner は次のスプレッドシートを提供しました。
| 名前 | ID | バージョン | パッチ | 利用可能 | ユーザー | 始める | 終わり |
| VPNシティ | nnpnnpemnckcfdebeekibpiijlicmpom | 2.0.1 | 間違い | 10,000 | 12/12/24 | 24/12/31 | |
| オウムの話 | kkodiihpgodmdankclfibbiphjkfdenh | 1.16.2 | 真実 | 40,000 | 12/25/24 | 24/12/31 | |
| 声 | oaikpkmjciadfpddlpjjdapglcihgdle | 1.0.12 | 真実 | 40,000 | 12/26/24 | 24/12/31 | |
| インターネット VPN | dpggmcodlahmljkhlmpgpdcffdaoccni | 1.1.1 | 1.2.0 | 真実 | 10,000 | 12/25/24 | 12/29/24 |
| ブックマークファビコンチェンジャー | acmfnomgphggonodopogfbmkneepfgnh | 4.00 | 真実 | 40,000 | 12/25/24 | 24/12/31 | |
| カストルス | mnhffkhmpnefgklngfmlndmkimimbphc | 4.40 | 4.41 | 真実 | 50,000 | 12/26/24 | 12/27/24 |
| AIのあり方 | cedgndijpacnfbdggppddacngjfdkaca | 0.0.11 | 真実 | 40,000 | 12/19/24 | 24/12/31 | |
| Chrome 用 Copilot AI アシスタントを検索 | bbdnohkpnbkdkmnkddobeafboooinpla | 1.0.1 | 真実 | 20,000 | 7/17/24 | 24/12/31 | |
| VidHelper – ビデオダウンローダー | egmennebgadmncfjafcemlesimkepcle | 2.2.7 | 真実 | 20,000 | 12/26/24 | 24/12/31 | |
| AI アシスタント – Chrome 用 ChatGPT および Gemini | bibjgkidgpfblifamdlkdlhgihmfohh | 0.1.3 | 間違い | 4,000 | 24/5/31 | 10/25/24 | |
| TinaMind – GPT-4o を搭載した AI アシスタント! | befflofjcniongenjmbkgkoljhgliihe | 2.13.0 | 2.14.0 | 真実 | 40,000 | 12/15/24 | 12/20/24 |
| 吟遊詩人AIチャット | pkgciiiancapdlpcbppfkmeaieppikkk | 1.3.7 | 間違い | 100,000 | 9/5/24 | 10/22/24 | |
| リーダーモード | llimhhconnjiflfimocjggfjdlmlhblm | 1.5.7 | 間違い | 300,000 | 12/18/24 | 12/19/24 | |
| 初代(旧PADO) | オエイオムフンバアピビルクフクムラジケェンジェ | 3.18.0 | 3.20.0 | 真実 | 40,000 | 12/18/24 | 12/25/24 |
| Cyberhaven セキュリティ拡張機能 V3 | pajkjnmeojmbapicmbpliphjmcekeaac | 24.10.4 | 24.10.5 | 真実 | 400,000 | 12/24/24 | 12/26/24 |
| GraphQL ネットワーク インスペクター | ndlbedplllcgconngcnfmkadhokfaaln | 2.22.6 | 2.22.7 | 真実 | 80,000 | 12/29/24 | 24/12/30 |
| OpenAI を使用した GPT 4 の概要 | epdjhgbipjpbbhoccdeipghoihibnfja | 1.4 | 間違い | 10,000 | 24/5/31 | 24/9/29 | |
| Vidnoz Flex – ビデオレコーダーとビデオ共有 | cplhlgabfijoiabgkigdafklbhhdkahj | 1.0.161 | 間違い | 6,000 | 12/25/24 | 12/29/24 | |
| はいキャプチャアシスタント | jiofmdifioeejeilfkpegipdjiopiekl | 1.1.61 | 真実 | 200,000 | 12/29/24 | 24/12/31 | |
| プロキシ SwitchyOmega (V3) | hihblcmlaaademjlakdpicchbjnnnkbo | 3.0.2 | 真実 | 10,000 | 24/12/30 | 24/12/31 |
でも待ってください、まだあります
侵害された拡張機能の 1 つは、 リーダーモード。さらなる分析により、他の 19 の拡張機能を対象としたキャンペーンだけでなく、2023 年 4 月までに開始された別のキャンペーンでも侵害されたことが判明しました。タックナー氏は、侵害の原因は、開発者が拡張機能を収益化するために使用できるコード ライブラリであるようだと述べました。 。コード ライブラリは、ブラウザーが行う各 Web 訪問に関する詳細を収集します。開発者は、ライブラリを拡張機能に組み込む代わりに、ライブラリ作成者からコミッションを受け取ります。
