Sommario
Le estensioni Chrome sono al centro di un’ondata di attacchi mirati, con almeno 16 estensioni compromesse, inclusa quella di Cyberhaven. Questi incidenti mettono in luce i rischi legati alla sicurezza del browser e la necessità di risposte rapide per proteggere dati e utenti. Gli attacchi, iniziati il 24 dicembre 2024, hanno sfruttato vulnerabilità negli account degli sviluppatori, causando l’esfiltrazione di dati sensibili.
Il caso Cyberhaven: un esempio di risposta efficace
Il 24 dicembre 2024, un attacco phishing ha compromesso le credenziali di un dipendente Cyberhaven, consentendo agli attaccanti di pubblicare una versione malevola dell’estensione Chrome (24.10.4). Il codice malevolo, attivo per circa 24 ore, mirava a rubare cookie e token di autenticazione da piattaforme social e AI.
Nonostante la gravità dell’incidente, la risposta dell’azienda è stata rapida ed efficace. Cyberhaven ha rilevato la compromissione il 25 dicembre e ha rimosso il pacchetto compromesso entro 60 minuti. La versione sicura 24.10.5 è stata pubblicata il giorno successivo, accompagnata da notifiche ai clienti colpiti.
L’azienda ha inoltre avviato una revisione delle pratiche di sicurezza, implementando nuovi controlli per prevenire futuri attacchi. Questi includono l’uso di standard FIDOv2 e il monitoraggio più rigoroso degli account degli sviluppatori.
Una campagna più ampia: 16 estensioni nel mirino
L’incidente Cyberhaven è parte di una campagna più ampia che ha colpito estensioni popolari come ChatGPT Assistant e VPNCity. Gli attaccanti hanno utilizzato phishing e tecniche di ingegneria sociale per accedere agli account degli sviluppatori, inserendo codice malevolo destinato a raccogliere credenziali e informazioni personali. Si sospetta che le estensioni a rischio siano:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – online keylogger tool
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- ChatGPT Assistant – Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Earny – Up to 20% Cash Back
La compromissione di queste estensioni dimostra come gli attacchi su scala globale possano sfruttare vulnerabilità non solo tecniche ma anche umane. Gli esperti di sicurezza sottolineano la necessità di politiche di autenticazione più rigorose e formazione per prevenire incidenti simili.
Impatti sulla sicurezza e soluzioni adottate
Gli attacchi contro le estensioni Chrome sottolineano l’importanza di una gestione proattiva della sicurezza. Cyberhaven, ad esempio, ha collaborato con esperti esterni e autorità per condurre un’analisi forense e identificare le vulnerabilità sfruttate. Altri sviluppatori colpiti hanno seguito strategie simili, rilasciando versioni sicure delle loro estensioni e rafforzando le misure di protezione degli account.
Questi incidenti hanno evidenziato la necessità di monitorare costantemente il comportamento delle estensioni e di implementare sistemi di rilevamento delle anomalie. La collaborazione tra piattaforme come il Chrome Web Store, sviluppatori e comunità di sicurezza sarà essenziale per prevenire future campagne malevole.
La compromissione di Cyberhaven e di altre estensioni Google Chrome dimostra la vulnerabilità delle applicazioni browser a minacce sofisticate. Sebbene la risposta rapida abbia limitato i danni, questi incidenti rappresentano un campanello d’allarme per l’industria tecnologica. Investire in sicurezza avanzata e politiche preventive sarà cruciale per proteggere utenti e dati sensibili in un ecosistema digitale sempre più interconnesso.
