New Supply Chain Attack Injects Malicious Code Into Chrome Extensions

New Supply Chain Attack

Chrome బ్రౌజర్ ఎక్స్‌టెన్షన్ లక్ష్యంగా చేసుకున్న అధునాతన సరఫరా లింక్ దాడి కనీసం 35 Chrome ఎక్స్‌టెన్షన్ రద్దు చేసింది, 2.6 మిలియన్ల మంది వినియోగదారులను డేటా చౌర్యం మరియు క్రెడెన్షియల్ హార్వెస్టింగ్‌కు గురిచేసే అవకాశం ఉంది.

2024 డిసెంబరు మధ్యలో ప్రారంభమైన ప్రచారం, టార్గెటెడ్ ఫిషింగ్ ఆపరేషన్ ద్వారా ఎక్స్‌టెన్షన్ డెవలపర్‌ల ద్వారా దోచుకుంది, హానికరమైన కోడ్‌ను చట్టబద్ధమైన పొడిగింపులలోకి ఇంజెక్ట్ చేయడానికి బెదిరింపు అనుమతిస్తుంది.

గూగుల్ క్రోమ్ వెబ్ స్టోర్ మద్దతును అనుకరిస్తూ, క్రోమ్ ఎక్స్‌టెన్షన్ డెవలపర్‌లకు ఫిషింగ్ ఇమెయిల్‌లు పంపడంతో ఈ దాడి ప్రారంభమైంది.

Chrome ఎక్స్‌టెన్షన్ సంబంధించిన నకిలీ ఉల్లంఘనను క్లెయిమ్ చేసే ఫిషింగ్ ఇమెయిల్ (మూలం – సెకోయా)

డెవలపర్ యొక్క పొడిగింపు స్టోర్ విధానాలను ఉల్లంఘించిందని మరియు తీసివేయబడే ప్రమాదం ఉందని ఈ ఇమెయిల్‌లు క్లెయిమ్ చేశాయి.

హానికరమైన OAuth అప్లికేషన్ “గోప్యతా విధాన ఎక్స్‌టెన్షన్ ” Chrome వెబ్ స్టోర్ పొడిగింపులను నవీకరించడానికి ప్రాప్యతను అభ్యర్థిస్తోంది (మూలం – Sekoia)

సెకోయాలోని భద్రతా నిపుణులు ఎంబెడెడ్ లింక్‌ను క్లిక్ చేయడం వలన బాధితులు “ప్రైవసీ పాలసీ ఎక్స్‌టెన్షన్” అనే హానికరమైన అప్లికేషన్ కోసం చట్టబద్ధమైన Google OAuth అధికార పేజీకి దారితీసినట్లు గుర్తించారు.

Chrome Security Update Fixes Memory Corruption and Access Vulnerabilities

అధికారం పొందిన తర్వాత, టార్గెటెడ్ ఎక్స్‌టెన్షన్‌ల యొక్క కొత్త వెర్షన్‌లను ప్రచురించడానికి ముప్పు పూర్తి యాక్సెస్‌ను పొందారు.

వారు రెండు హానికరమైన JavaScript ఫైల్‌లను కలిగి ఉన్న సవరించిన సంస్కరణలను అప్‌లోడ్ చేసారు: background.js మరియు context_responder.js. ఈ స్క్రిప్ట్‌లు కాన్ఫిగరేషన్‌లను డౌన్‌లోడ్ చేయడానికి మరియు సున్నితమైన వినియోగదారు డేటాను ఎక్స్‌ఫిల్ట్రేట్ చేయడానికి కమాండ్ మరియు కంట్రోల్ (C2) సర్వర్‌లతో కమ్యూనికేట్ చేస్తాయి.

సరఫరా గొలుసు దాడి & విరోధి యొక్క మౌలిక సదుపాయాలు

ఇంజెక్ట్ చేయబడిన కోడ్ ప్రధానంగా Facebook వ్యాపార వినియోగదారులను లక్ష్యంగా చేసుకుంది, API కీలు, సెషన్ కుక్కీలు, యాక్సెస్ టోకెన్‌లు, ఖాతా సమాచారం మరియు ప్రకటన ఖాతా వివరాలను సేకరించడం. అదనంగా, కొన్ని రకాలు OpenAI ChatGPT API కీలు మరియు వినియోగదారు ప్రమాణీకరణ డేటాను దొంగిలించడానికి ప్రయత్నించాయి.

సరఫరా లింక్ దాడి మరియు ప్రత్యర్థి యొక్క అవస్థాపన (మూలం – సెకోయా)

డిసెంబర్ 26, 2024న రద్దును గుర్తించిన వారిలో సైబర్‌సెక్యూరిటీ సంస్థ సైబర్‌హావెన్ మొదటి స్థానంలో ఉంది. దాడి చేసిన వ్యక్తి యొక్క మౌలిక సదుపాయాలు కనీసం మార్చి 2024 నుండి చురుకుగా ఉన్నాయని వారి పరిశోధనలో వెల్లడైంది, ఇది మునుపటి ప్రచారాలు గుర్తించబడకపోవచ్చని సూచిస్తున్నాయి.

గుర్తించదగిన రద్దు చేయబడిన ఎక్స్‌టెన్షన్:-

PayPal Was Fined 2 Million for Cybersecurity Vulnerabilities

గ్రాఫ్‌క్యూఎల్ నెట్‌వర్క్ ఇన్‌స్పెక్టర్
Proxy SwitchyOmega (V3)
YesCaptcha అసిస్టెంట్
కాస్టోరస్
VidHelper – వీడియో డౌన్‌లోడ్ హెల్పర్
ఇంటర్‌నెక్స్ట్ VPN
విడ్నోజ్ ఫ్లెక్స్
AI యొక్క మార్గం
రీడర్ మోడ్
మొదటి (మునుపటి PADO)
టీనామైండ్
VPNనగరం
వాయిస్
చిలుక చర్చలు
బుక్‌మార్క్ ఫేవికాన్ ఛేంజర్
సైబర్‌హావెన్

ముప్పు చేసే C2 కమ్యూనికేషన్ కోసం డొమైన్‌ల నెట్‌వర్క్‌ను ఉపయోగించారు, చాలా మంది రెండు IP చిరునామాలను పరిష్కరించారు: 149.28.124[.]84 మరియు 45.76.225[.]148. వారు 149.248.2ని కూడా ఉపయోగించారు[.]డేటా ఎక్స్‌ఫిల్ట్రేషన్ కోసం 160.

సంభావ్య రద్దును గుర్తించడానికి, వినియోగదారులు “graphqlnetwork_ext_manage” వంటి కీల కోసం లేదా డౌన్‌లోడ్ చేసిన కాన్ఫిగరేషన్‌లను కలిగి ఉన్న సారూప్య పొడిగింపు-నిర్దిష్ట కీల కోసం వారి Chrome స్థానిక నిల్వను తనిఖీ చేయవచ్చు.

AI మరియు యాడ్స్ బ్లాక్ సొల్యూషన్స్‌ను అనుకరించే అటాకర్ వెబ్‌సైట్‌లు (మూలం – సెకోయా)

దీని ఫలితంగా, సంస్థలు బ్రౌజర్ ఎక్స్‌టెన్షన్ వినియోగంపై తమ విధానాలను జాగ్రత్తగా సమీక్షించాలి మరియు సంభావ్య బెదిరింపులను తగ్గించడానికి కఠినమైన నియంత్రణలను అమలు చేయాలి.

వినియోగదారుల కోసం సిఫార్సు చేయబడిన చర్యలు:-

డిసెంబర్ 26, 2024 తర్వాత విడుదలైన సంస్కరణలకు ప్రభావితమైన ఎక్స్‌టెన్షన్ తీసివేయండి లేదా నవీకరించండి.
ముఖ్యంగా Facebook మరియు ChatGPT కోసం ముఖ్యమైన ఖాతా పాస్‌వర్డ్‌లను రీసెట్ చేయండి.
బ్రౌజర్ డేటాను క్లియర్ చేయండి మరియు సెట్టింగ్‌లను డిఫాల్ట్‌లకు రీసెట్ చేయండి.
ఏదైనా అనుమానాస్పద ప్రవర్తన కోసం ఖాతా కార్యాచరణను పర్యవేక్షించండి.

ఎక్స్‌టెన్షన్ డెవలపర్‌ల కోసం:-