サイバーセキュリティ企業がマルウェア拡散のツールになるとはどういうことか、考えたことはありますか?これはまさに先週水曜日にサイバーセキュリティ企業Cyberhavenに起きたことで、Chrome拡張機能を通じて40万人のユーザーが悪意あるコードに感染しました。
Cyberhaven はDLP(データ損失防止)分野のスタートアップの1つで、組織の機密データの流出を防ぐために設計されたツールです。彼らはChrome拡張機能を提供しており、ユーザーがChatGPTやFacebookなどの認可されていないプラットフォームに機密の組織情報を入力するのをブロックします。最近、同社は好調で、最新の資金調達ラウンドで8,800万ドルを調達しました。
時系列で何が起こったのか?
火曜日の夜、クリスマス・イブの夜、Cyberhaven の管理者は不安な電子メールを受け取りました。彼らのChrome拡張機能がGoogleのポリシーに違反しており、Chrome ウェブストアから削除される危険があるという内容でした。Cyberhaven のような企業にとって、そのような削除は致命的な打撃となるでしょう。しかし、その電子メールは単なるフィッシング キャンペーンで、管理者をだまして詐欺に引き掛けるために設計されていました。
電子メールをクリックすると、管理者は Google 同意画面に導かれ、Privacy Policy Extension という名前の OAuth アプリケーションのアクセス許可を求めました。このアプリケーションは実際には攻撃者によって制御されるツールでした。アクセス許可を与えることで、管理者は知らないうちに、攻撃者に Cyberhaven の Chrome 拡張機能の新しいバージョンを Web ストアにアップロードする機能を与えてしまいました。
攻撃者が新しい拡張機能の更新をアップロードするアクセス権を取得すると、Cyberhaven の Chrome 拡張機能の悪意あるバージョンをリリースしました。Google はストアにアップロードされたすべての新しいバージョンに対してセキュリティ チェックとスキャンを実行していると主張していますが、悪意あるコードを含む新しいバージョンはその直後の水曜日の朝(2024年12月25日)に公開されました。
ブラウザ拡張機能が自動的に更新されることを理解することが重要です。つまり、悪意あるバージョンが公開されるとすぐに、ほぼ 40 万人の Cyberhaven ユーザーすべてにプッシュされたということです。かなり悪いことです。
悪意あるコードは何をしたのか?
分析により、ユーザーのパスワード、Cookie、およびアカウント乗っ取りを可能にする可能性のあるその他の情報を盗むように設計されていることが明らかになりました。
悪意あるバージョンが公開されてから数時間後、Cyberhaven のセキュリティ チームが攻撃を特定し、悪意あるコードを削除するための措置を講じました。金曜日に、同社はこの侵害に関する声明を発表し、サイバーセキュリティ業界に衝撃を与えました。しかし、話はそこでは終わりません。その発表に続いて、さらなる調査により、同じ悪意あるコードを含む数十の人気拡張機能が発見されました。同じキャンペーンが他の Chrome 拡張機能の開発者もターゲットにしたようです。
現在、VPNCity、Reader Mode などの拡張機能を通じて、100 万台以上のコンピュータが悪意あるコードに感染していると推定されています。調査はまだ進行中ですが、これまでのところ合計 16 の Chrome 拡張機能が同様に危険にさらされていることが判明しました。IOC はブログ投稿の下部に添付されています。
あなたは何ができるのか?
まず最初に、環境が感染していないことを確認することを強くお勧めします。以下に記載されている IOC を利用するか、ExtensionTotal でお問い合わせください。さらに、組織でこれが起こらないようにするための方法は、バージョンピンニングを実装することです。バージョンピンニングは基本的に、組織内の拡張機能の事前承認されたバージョンをピン留めすることを意味し、悪意のある自動更新攻撃の対象にならなくなります。これは、ExtensionTotal Enterprise などの製品を使用することで実現できます。
拡張機能の開発者を信頼している場合でも、すべてのバージョンが前のバージョンと完全に異なる可能性があることを覚えておくことが重要です。拡張機能の開発者が危険にさらされた場合、ユーザーも事実上危険にさらされています。ほぼ瞬時に。
さらに、ExtensionTotal が観測したように、これらのタイプの攻撃は多くの類似したソフトウェア エコシステムで発生します。例えば、他のブラウザ拡張機能(Edge、Safari、Firefox)、IDE 拡張機能(Visual Studio Code、JetBrains)、コード パッケージ(NPM、Pypi)です。
これは、大企業で毎日直面するソフトウェア サプライ チェーンの古典的な問題です。セキュリティと生産性のバランスをどのように保つのか?私たちは ExtensionTotal を構築しました。その機能を実現するために、実務者と企業の両方を対象としています。
Fortune 100 企業、500 企業、防衛技術企業に信頼されている ExtensionTotal は、セキュリティ プロセスを自動化し、この攻撃表面を削減およびバランスを取るための可視性、ガバナンス、およびプロアクティブなリスク管理を提供します。
チャットしたい場合は、ここからお問い合わせください 🤙
*** 2024年12月30日 13:03 UTC 更新 ***
ExtensionTotal は、同じキャンペーンの一部として、12万人のユーザーを持つ 3 つの追加の悪意のある Chrome 拡張機能を発見しました。調査はまだ進行中です。
*** 2024年12月31日 6:13 UTC 更新 ***
悪意のあるコードを含む多くの追加の侵害された Chrome 拡張機能が見つかりました。インシデント ページを通じて常に最新の情報を入手することをお勧めします。
ExtensionTotal から、このブログ投稿の多くは彼のLinkedIn の投稿にインスピレーションを受けています。
翻訳元: https://www.koi.ai/blog/when-chrome-extensions-turn-against-us-the-cyberhaven-breach-and-beyond
