تقول شركة Cyberhaven إنها تعرضت للاختراق لنشر تحديث ضار لملحق Chrome الخاص بها

تقول شركة Cyberhaven الناشئة لمنع فقدان البيانات، إن المتسللين نشروا تحديثًا ضارًا لامتداد Chrome الخاص بهم والذي كان قادرًا على سرقة كلمات مرور العملاء والرموز المميزة للجلسة، وفقًا لرسالة بريد إلكتروني مرسلة إلى العملاء المتأثرين، الذين ربما كانوا ضحايا هذا الهجوم المشتبه به على سلسلة التوريد.

وأكدت Cyberhaven الهجوم الإلكتروني لموقع TechCrunch يوم الجمعة، لكنها رفضت التعليق على تفاصيل الحادث.

قالت رسالة بريد إلكتروني من الشركة مرسلة إلى العملاء، حصل عليها ونشرها الباحث الأمني ​​مات جوهانسن، إن المتسللين قاموا باختراق حساب الشركة لنشر تحديث ضار لامتداد Chrome الخاص بها في الصباح الباكر من يوم 25 ديسمبر. امتداد المتصفح المخترق، “من الممكن أن يتم تسرب المعلومات الحساسة، بما في ذلك الجلسات وملفات تعريف الارتباط المصادق عليها، إلى مجال المهاجم.”

ورفض المتحدث باسم Cyberhaven كاميرون كولز التعليق على رسالة البريد الإلكتروني لكنه لم يشكك في صحتها.

وفي بيان مقتضب عبر البريد الإلكتروني، قالت Cyberhaven إن فريقها الأمني ​​اكتشف الاختراق بعد ظهر يوم 25 ديسمبر/كانون الأول، وأنه تمت إزالة الامتداد الخبيث (الإصدار 24.10.4) بعد ذلك من متجر Chrome الإلكتروني. تم إصدار نسخة شرعية جديدة من الامتداد (24.10.5) بعد فترة وجيزة.

تقدم Cyberhaven منتجات تقول إنها تحمي من تسريب البيانات والهجمات الإلكترونية الأخرى، بما في ذلك ملحقات المتصفح، والتي تسمح للشركة بمراقبة الأنشطة الضارة المحتملة على مواقع الويب. يُظهر سوق Chrome الإلكتروني أن امتداد Cyberhaven يضم حوالي 400000 مستخدم من عملاء الشركات في وقت كتابة هذا التقرير.

عندما سألتها TechCrunch، رفضت Cyberhaven تحديد عدد العملاء المتأثرين الذين أبلغتهم بشأن الاختراق. تدرج الشركة التي يقع مقرها في كاليفورنيا عمالقة التكنولوجيا Motorola وReddit وSnowflake كعملاء، بالإضافة إلى شركات المحاماة وعمالقة التأمين الصحي.

وفقًا للبريد الإلكتروني الذي أرسلته Cyberhaven إلى عملائها، يجب على المستخدمين المتأثرين “إلغاء” و”تدوير جميع كلمات المرور” وبيانات الاعتماد الأخرى المستندة إلى النص، مثل الرموز المميزة لواجهة برمجة التطبيقات (API). وقالت Cyberhaven إنه يجب على العملاء أيضًا مراجعة سجلاتهم الخاصة بحثًا عن أي نشاط ضار. (يمكن استخدام الرموز المميزة للجلسة وملفات تعريف الارتباط للحسابات التي تم تسجيل الدخول والتي تمت سرقتها من متصفح المستخدم لتسجيل الدخول إلى هذا الحساب دون الحاجة إلى كلمة المرور أو الرمز الثنائي، مما يسمح للمتسللين بتجاوز هذه الإجراءات الأمنية بشكل فعال.)

لا تحدد رسالة البريد الإلكتروني ما إذا كان يجب على العملاء أيضًا تغيير أي بيانات اعتماد للحسابات الأخرى المخزنة في متصفح Chrome، ورفض المتحدث باسم Cyberhaven التحديد عندما سأله موقع TechCrunch.

وفقًا للبريد الإلكتروني، كان حساب الشركة المخترق هو “حساب المشرف الوحيد لمتجر Google Chrome”. ولم يذكر Cyberhaven كيف تم اختراق حساب الشركة، أو ما هي سياسات أمان الشركة المعمول بها والتي سمحت باختراق الحساب. وقالت الشركة في بيانها الموجز إنها “بدأت مراجعة شاملة لممارساتنا الأمنية وستنفذ ضمانات إضافية بناءً على النتائج التي توصلنا إليها”.

قالت Cyberhaven إنها استأجرت شركة للاستجابة للحوادث، والتي تقول الرسالة الإلكترونية للعملاء إنها Mandiant، وأنها “تتعاون بنشاط مع سلطات إنفاذ القانون الفيدرالية”.

قال Jaime Blasco، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في Nudge Security، في منشورات على X إن العديد من ملحقات Chrome الأخرى قد تم اختراقها كجزء من نفس الحملة على ما يبدو، بما في ذلك العديد من الملحقات التي تضم عشرات الآلاف من المستخدمين.

أخبر بلاسكو موقع TechCrunch أنه لا يزال يحقق في الهجمات ويعتقد في هذه المرحلة أن هناك المزيد من الامتدادات التي تم اختراقها في وقت سابق من هذا العام، بما في ذلك بعض الامتدادات المتعلقة بالذكاء الاصطناعي والإنتاجية والشبكات الافتراضية الخاصة.

قال بلاسكو: “يبدو أن الأمر لم يكن مستهدفًا ضد Cyberhaven، بل كان يستهدف بشكل انتهازي مطوري الامتدادات”. “أعتقد أنهم سعوا وراء الامتدادات التي يمكنهم الحصول عليها بناءً على أوراق اعتماد المطورين التي كانت بحوزتهم.”

وفي بيانها لـ TechCrunch، قالت Cyberhaven أن “التقارير العامة تشير إلى أن هذا الهجوم كان جزءًا من حملة أوسع لاستهداف مطوري إضافات Chrome عبر مجموعة واسعة من الشركات”. في هذه المرحلة، ليس من الواضح من المسؤول عن هذه الحملة، ولم يتم بعد تأكيد الشركات المتضررة الأخرى وامتداداتها.