El enlace en el correo electrónico condujo a la pantalla de consentimiento de Google Our Aplicación Nombre de extensión de la política de privacidad. El desarrollador de Cyberhaven dio permiso y en este proceso, les dio a los atacantes la capacidad de subir nuevas versiones de la extensión de Chrome de Cyberhaven a la tienda web de Chrome. El atacante usó permiso para sacar la versión dañina 24.10.4.
A medida que el plazo del ataque se extendió temprano en la mañana del 25 de diciembre, los desarrolladores e investigadores encontraron que otras extensiones fueron atacadas con éxito por la misma campaña de pesca de lanza, en muchos casos. El análisis de análisis y análisis de extensión del navegador, el fundador de ANEX, John Tuckner, dijo que para el jueves por la tarde, estaba al tanto de las otras 19 extensiones de Chrome. En cada caso, el atacante ha utilizado la pesca de lanza para emitir una nueva versión dañina y dominios rituales y parecidos para emitir cargas útiles y recibir credenciales de autenticación. Colectivamente, hay 1,46 millones de descargas en 20 extensiones.
“Estoy hablando con mucha gente, mantener las extensiones del navegador es algo menos importante en su programa de seguridad”, escribió Tuckner en un correo electrónico. “Saben que pueden demostrar una amenaza, pero raramente rara vez los equipos toman medidas contra ellos. A menudo hemos visto en seguridad (que) uno o dos eventos causan la observación de la postura de seguridad de la compañía. Tales eventos a menudo encuentran una manera Comprender la visibilidad y la influencia de sus empresas luchando.
El compromiso inicial ocurrió en mayo de 2024. Tuckner proporcionó la siguiente hoja de cálculo:
| Nombre | Identificación | Versión | Parche | Disponible | Usuarios | Comenzar | El fin |
| Vpncity | Nnpnnpemncfdebebekiijlicmpom | 2.0.1 | FALSO | 10,000 | 12/12/24 | 31/12/24 | |
| El loro habla | Kkodiihpgodmdmdankclbiphjkfdenh | 1.16.2 | La verdad | 40,000 | 25/12/24 | 31/12/24 | |
| Voz | Oaikpkmjciadfpddddlpjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjg | 1.0.12 | La verdad | 40,000 | 26/12/24 | 31/12/24 | |
| Internsx VPN | Dpggmcodlahmljkhlmpgpdcffdaocccni | 1.1.1 | 1.2.0 | La verdad | 10,000 | 25/12/24 | 29/12/24 |
| Marcador de favicón de marcador | Acmfnomgphggonodogfbmknepfgnh | 4.00 | La verdad | 40,000 | 25/12/24 | 31/12/24 | |
| Costaro | Mnhffkhmpnefgklngfmlndmkimbphc | 4.40 | 4.41 | La verdad | 50,000 | 26/12/24 | 27/12/24 |
| Mil | Cedgndijpacnfbdgpddacngjfdkaca | 0.0.11 | La verdad | 40,000 | 19/12/24 | 31/12/24 | |
| Search Copie AI Assistant para Chrome | bbdnohkpnbkdkmnkdoBoBoooinpla | 1.0.1 | La verdad | 20,000 | 7/17/24 | 31/12/24 | |
| Vidhelper – Descarga de video | Egmennebgadmncfjfcemlecimkepcle | 2.2.7 | La verdad | 20,000 | 26/12/24 | 31/12/24 | |
| Asistente de IA – Chatgpt y Géminis para Chrome | Bibjgkidgpfbblifamdlkdlhgihmfohh | 0.1.3 | FALSO | 4.000 | 31/05/24 | 25/05/24 | |
| ¡Asistente de IA de Tinamind-GPT-4O! | Befflofjcnionenenenjmbkoljhgliihehe | 2.13.0 | 2.14.0 | La verdad | 40,000 | 15/12/24 | 20/12/24 |
| Chat de Bard Ai | Pkgciiiancapdlpcbppfkmeaippipikkkkkkkkkk | 1.3.7 | FALSO | 100,000 | 9/5/24 | 22/10/24 | |
| Modo de lector | llimhconjiflfimocggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggdlhblmm | 1.5.7 | FALSO | 300,000 | 18/12/24 | 19/12/24 | |
| Primero (anteriormente Pado) | OeomhomupillipliplipliplipliPlkkkhmkhmkhhmkhmlrkeghlrinegrinegrinegnll | 3.18.0 | 3.20.0 | La verdad | 40,000 | 18/12/24 | 25/12/24 |
| Cyberhaven Security Extension V3 | Pajkjnmeojmbapicmbpliffjmcekeaac | 24.10.4 | 24.10.5 | La verdad | 400,000 | 24/12/24 | 26/12/24 |
| Inspector de red GraphQL | Ndlbedllllcgconngcnfmkadhokfaaln | 2.22.6 | 2.22.7 | La verdad | 80,000 | 29/12/24 | 30/12/24 |
| GPT 4 Resumen con Openay | Epdjhgbipjpjpbhockdeipghihibnfja | 1.4 | FALSO | 10,000 | 31/05/24 | 9/29/24 | |
| Widnoz Flex – Recordadora de video y compartir videos | Cplhlgabfijoiabfkhkdahdahj | 1.0.161 | FALSO | 6,000 | 25/12/24 | 29/12/24 | |
| Yesapcha Asistente | Jiofmdifioeeeeeeeeeeeilfkpegipdjiopiekl | 1.1.61 | La verdad | 200,000 | 29/12/24 | 31/12/24 | |
| Proxy Switchyomega (V3) | HIHBLCMLAAAMNJLAKDPICHBJNNKBO | 3.0.2 | La verdad | 10,000 | 30/12/24 | 31/12/24 |
Pero espera, todavía hay
Se llama una de las extensiones de compromiso Modo de lector. En un análisis posterior, ha demostrado que ha comprometido no solo la campaña dirigida a las 19 extensiones restantes sino también en abril de 2023. Tuckner dijo que los desarrolladores de la biblioteca de códigos utilizados por los desarrolladores de la biblioteca de código para ganar dinero para ganar dinero con la fuente de compromiso. . La biblioteca de códigos recopila detalles sobre cada visita web que el navegador es el navegador. En lugar de agregar la biblioteca en extensiones, los desarrolladores obtienen una comisión del creador de la biblioteca.
