La startup de prévention des pertes de données Cyberhaven affirme que des pirates informatiques ont publié une mise à jour malveillante de son extension Chrome capable de voler les mots de passe et les jetons de session des clients, selon un e-mail envoyé aux clients concernés, qui pourraient avoir été victimes de cette attaque présumée de la chaîne d’approvisionnement.
Cyberhaven a confirmé la cyberattaque à TechCrunch vendredi, mais a refusé de commenter les détails de l’incident.
Un e-mail envoyé par l’entreprise à ses clients, obtenu et publié par le chercheur en sécurité Matt Johansen, indique que les pirates ont compromis un compte de l’entreprise pour publier une mise à jour malveillante de son extension Chrome au petit matin du 25 décembre. L’e-mail indique que pour les clients exécutant l’extension de navigateur compromise, « il est possible que des informations sensibles, y compris des sessions authentifiées et des cookies, soient exfiltrées vers le domaine de l’attaquant ».
Le porte-parole de Cyberhaven, Cameron Coles, a refusé de commenter l’e-mail mais n’a pas contesté son authenticité.
Dans un bref communiqué envoyé par courrier électronique, Cyberhaven a déclaré que son équipe de sécurité avait détecté la compromission dans l’après-midi du 25 décembre et que l’extension malveillante (version 24.10.4) avait ensuite été supprimée du Chrome Web Store. Une nouvelle version légitime de l’extension (24.10.5) a été publiée peu après.
Cyberhaven propose des produits qui, selon elle, protègent contre l’exfiltration de données et d’autres cyberattaques, notamment des extensions de navigateur, qui permettent à l’entreprise de surveiller les activités potentiellement malveillantes sur les sites Web. Le Chrome Web Store indique que l’extension Cyberhaven compte environ 400 000 utilisateurs professionnels au moment de la rédaction de cet article.
Interrogée par TechCrunch, Cyberhaven a refusé de dire combien de clients concernés avaient été informés de la violation. L’entreprise basée en Californie cite parmi ses clients les géants de la technologie Motorola, Reddit et Snowflake, ainsi que des cabinets d’avocats et des géants de l’assurance maladie.
Selon l’e-mail envoyé par Cyberhaven à ses clients, les utilisateurs concernés doivent « révoquer » et « faire tourner tous les mots de passe » et autres informations d’identification textuelles, telles que les jetons API. Cyberhaven a déclaré que les clients devraient également consulter leurs propres journaux pour détecter toute activité malveillante. (Les jetons de session et les cookies des comptes connectés qui sont volés dans le navigateur de l’utilisateur peuvent être utilisés pour se connecter à ce compte sans avoir besoin de son mot de passe ou de son code à deux facteurs, ce qui permet aux pirates de contourner ces mesures de sécurité.)
L’e-mail ne précise pas si les clients doivent également modifier les informations d’identification d’autres comptes stockés dans le navigateur Chrome, et le porte-parole de Cyberhaven a refusé de préciser lorsque TechCrunch l’a interrogé.
Selon l’e-mail, le compte d’entreprise compromis était le « compte administrateur unique du Google Chrome Store ». Cyberhaven n’a pas précisé comment le compte d’entreprise a été compromis, ni quelles politiques de sécurité d’entreprise étaient en place qui ont permis la compromission du compte. L’entreprise a déclaré dans sa brève déclaration qu’elle avait « lancé un examen complet de nos pratiques de sécurité et qu’elle mettrait en œuvre des mesures de protection supplémentaires en fonction de nos conclusions ».
Cyberhaven a déclaré avoir embauché une société de réponse aux incidents, qui, selon l’e-mail envoyé aux clients, est Mandiant, et « coopère activement avec les forces de l’ordre fédérales ».
Jaime Blasco, cofondateur et directeur technique de Nudge Security, a déclaré dans des publications sur X que plusieurs autres extensions Chrome avaient été compromises comme faisant apparemment partie de la même campagne, y compris plusieurs extensions avec des dizaines de milliers d’utilisateurs.
Blasco a déclaré à TechCrunch qu’il enquêtait toujours sur les attaques et qu’il pensait à ce stade qu’il y avait davantage d’extensions compromises plus tôt cette année, y compris certaines liées à l’IA, à la productivité et aux VPN.
« Il semble que l’attaque n’ait pas visé Cyberhaven, mais plutôt les développeurs d’extensions de manière opportuniste », a déclaré Blasco. « Je pense qu’ils ont ciblé les extensions qu’ils pouvaient en fonction des références des développeurs qu’ils avaient. »
Dans sa déclaration à TechCrunch, Cyberhaven a déclaré que « des rapports publics suggèrent que cette attaque faisait partie d’une campagne plus vaste visant à cibler les développeurs d’extensions Chrome dans un large éventail d’entreprises ». À ce stade, on ne sait pas exactement qui est responsable de cette campagne, et les autres entreprises touchées et leurs extensions n’ont pas encore été confirmées.
