Extensions Chrome Piratées : Plus de 600 000 Utilisateurs Victimes d’un Vol de Données
Une faille inquiétante dans la sécurité des navigateurs
Une nouvelle attaque informatique a ciblé une vingtaine d’extensions populaires pour le navigateur Chrome. Plus de 600 000 utilisateurs ont été exposés à des risques de vol de données et d’identifiants. Ces attaques, qui combinent phishing et codes malveillants, révèlent une vulnérabilité dans la gestion des extensions.
Des techniques de phishing ciblant les éditeurs
L’attaque a commencé par une série de phishing visant les éditeurs d’extensions sur le Chrome Web Store. Les attaquants se sont fait passer pour le support technique de Google. Ils ont incité les développeurs à cliquer sur des liens frauduleux, obtenant ainsi l’accès à leurs comptes administrateurs. Ils ont ensuite modifié leurs extensions pour y insérer des scripts malveillants.
Cyberhaven : une cible de choix
Le 24 décembre 2024, un pirate a accédé au compte administrateur Chrome Web Store d’un employé de Cyberhaven. Cette entreprise, spécialisée dans la prévention contre les pertes de données, compte parmi ses clients des géants comme Snowflake, Motorola, Reddit et Canon. Le pirate a publié une version infectée (24.10.4) de l’extension Cyberhaven. Ce code permettait de voler les cookies de session des utilisateurs et d’envoyer les informations vers un domaine malveillant (« cyberhavenext[.]pro »). La version infectée a été retirée moins d’une heure après sa détection. Cyberhaven a publié une version sécurisée (24.10.5) et recommande aux utilisateurs de changer leurs mots de passe et de réinitialiser leurs jetons API.
Une attaque étendue à de nombreuses extensions
Cette attaque ne se limite pas à Cyberhaven. Des extensions comme Internxt VPN, VPNCity, Uvoice et ParrotTalks ont également été compromises. Les pirates ont injecté des codes similaires, permettant la communication avec des serveurs malveillants. D’autres extensions comme Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, et AI Shop Buddy figurent parmi les victimes. Certaines extensions ont déjà été supprimées du Chrome Web Store, dont Effets visuels pour Google Meet, Rewards Search Automator, Tackker, Bard AI chat et Reader Mode.
Un stratagème bien organisé
L’email de phishing semblait provenir de Google. Il alertait les développeurs d’un risque imminent de suppression de leur extension. En accédant à une page frauduleuse et en accordant des permissions, les éditeurs ont permis aux pirates de modifier leurs extensions.
Les conséquences pour les utilisateurs
Les pirates ont utilisé les extensions infectées pour voler des informations sensibles, comme les cookies de session et les jetons d’authentification. Ces données permettent aux attaquants d’accéder à des comptes personnels et professionnels, y compris sur des plateformes comme Facebook Ads. Cela augmente les risques de fraudes financières.
Comment se protéger ?
Voici quelques recommandations pour éviter d’être victime de ces attaques :
- Vérifiez régulièrement vos extensions installées et supprimez celles que vous n’utilisez pas.
- Limitez les permissions accordées aux extensions, surtout celles demandant un accès à vos données sensibles.
- Mettez à jour vos extensions pour bénéficier des correctifs de sécurité.
- Changez vos mots de passe et réinitialisez vos jetons API si vous êtes concerné.
- Soyez vigilant face aux emails suspects, surtout ceux prétendant provenir de services officiels.
En conclusion
Cette attaque met en évidence des failles critiques dans la sécurité des extensions de navigateur, souvent perçues comme anodines. Les utilisateurs et les entreprises doivent renforcer leur vigilance. Adoptez des pratiques de cybersécurité plus strictes pour limiter l’exposition à ces menaces.
Découvrez nos offres Cybersécurité NEXT2i en cliquant ici. Pour toutes questions concernant nos offres VOC, SOC, MDR ou autres, remplissez le formulaire de contact ou contactez nous au 01 48 49 98 00.
