TechFlow 소식에 따르면, 1월 12일 AabyssTeam 창립자가 보안 경보를 발표하며 사이버해븐(Cyberhaven)이라는 보안 회사가 피싱 이메일 공격을 당해 그들이 배포한 브라우저 플러그인에 악성 코드가 삽입되었다고 밝혔다. 영향을 받은 플러그인으로는 Proxy SwitchyOmega(V3)를 포함한 여러 개의 구글 스토어 확장 프로그램이 있으며, 누적 영향을 받은 사용자는 50만 명 이상이다.
슬로우미스트 테크놀로지(SlowMist Technology) 창립자인 유스인이 분석한 바에 따르면, 공격자는 OAuth2 공격 체인을 이용해 플러그인 개발자의 게시 권한을 탈취한 후 자동 업데이트 메커니즘을 통해 백도어를 삽입했다. 브라우저 확장 프로그램은 시작하거나 다시 열릴 때 자동으로 업데이트되기 때문에 악성 코드가 사용자에게 쉽게 드러나지 않는다. 이러한 악성 코드는 주로 사용자의 브라우저 쿠키와 비밀번호 정보를 탈취하는 데 사용된다. 사용자들은 설치된 브라우저 플러그인, 특히 암호화 지갑 관련 확장 프로그램의 보안 상태를 즉시 점검할 것을 권장한다.




