TechFlow, 12 janvier - Le fondateur d'AabyssTeam a publié une alerte de sécurité indiquant que l'entreprise de cybersécurité Cyberhaven a subi une attaque par e-mail de phishing. Cette attaque a permis l'injection de code malveillant dans ses extensions de navigateur. Les extensions concernées incluent notamment Proxy SwitchyOmega (V3) et plusieurs autres applications disponibles sur le Chrome Web Store, affectant plus de 500 000 utilisateurs au total.
Yu Xian, fondateur de SlowMist Technology, a analysé que les attaquants ont exploité une chaîne d'attaque OAuth2 pour obtenir les droits de publication des développeurs d'extensions, puis ont implanté des portes dérobées via le mécanisme de mise à jour automatique. Étant donné que les extensions de navigateur se mettent automatiquement à jour lors du démarrage ou de la réouverture du navigateur, le code malveillant reste difficile à détecter pour les utilisateurs. Ce code est principalement conçu pour voler les cookies et les mots de passe stockés dans le navigateur. Il est recommandé aux utilisateurs de vérifier rapidement les extensions installées, en particulier celles liées aux portefeuilles cryptographiques.




