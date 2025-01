Une vingtaine d'extensions pour Chrome ont été compromises par des pirates informatiques, dans le but d'injecter un code malveillant qui vole des informations sensibles sur les machines des utilisateurs. Faisons le point sur ces attaques.

Un pirate informatique est parvenu à accéder au compte administrateur Google Chrome Web Store d'un employé de chez Cyberhaven, une entreprise spécialisée dans la prévention contre les pertes de données. Parmi ses clients, Cyberhaven compte notamment de grandes entreprises comme Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart et Kirkland & Ellis.

Grâce à cet accès, le cybercriminel a pu prendre le contrôle de la distribution de l'extension officielle de Cyberhaven. Il a ajouté un bout de code malveillant permettant de voler les cookies de session sur les machines et d'envoyer les informations vers un domaine dont il a le contrôle : cyberhavenext[.]pro. Une fois le code intégré, le cybercriminel a publié la nouvelle version de l'extension sur le Chrome Web Store, avec le numéro de version 24.10.4.

L'attaque est récente, puisque Cyberhaven a alerté ses clients en précisant que les faits remontaient au 24 décembre dernier. Moins d'une heure après la détection de l'attaque, le paquet malveillant a été supprimé pour éviter que l'extension malveillante se propage. Une nouvelle version, saine, a été publiée par les développeurs de Cyberhaven le 26 décembre 2024 : version 24.10.5.

Il est recommandé de passer à cette version dès que possible, afin d'éviter les fuites d'informations. De plus, Cyberhaven recommande d'effectuer une rotation de tous les jetons API et de renouveler ses mots de passes (hors FIDO2). Vous pouvez également surveiller les journaux de navigation afin d'identifier les activités suspectes.

Voici un aperçu du communiqué officiel de Cyberhaven.

Cyberhaven, a thing we've never heard about before until about 2 minutes ago, that does something with cybersecurity and lists it's biggest customers on it's website, was compromised. It resulted in a web-browser-based supply chain attack. pic.twitter.com/fNLFqUqQ9K