Cyberhaven
Datendiebstahl durch Chrome-Erweiterungen: Massive Angriffswelle gefährdet Hunderttausende Nutzer
Ein neuerlicher Angriff auf Chrome-Erweiterungen sorgt für Gefahr: Mindestens 16 Add-ons sind ins Visier von Hackern geraten. Eine vollständige Liste wurde allerdings nicht veröffentlicht.
Eine neue großangelegte Supply-Chain-Attacke bedroht Nutzer des Chrome-Browsers. Mindestens 16 Browser-Erweiterungen wurden durch das Hacken von Entwicklerkonten manipuliert, wodurch über 600.000 Nutzer gefährdet sind. Die kompromittierten Add-ons ermöglichen den Diebstahl von Zugangsdaten und C...
Eine neue großangelegte Supply-Chain-Attacke bedroht Nutzer des Chrome-Browsers. Mindestens 16 Browser-Erweiterungen wurden durch das Hacken von Entwicklerkonten manipuliert, wodurch über 600.000 Nutzer gefährdet sind. Die kompromittierten Add-ons ermöglichen den Diebstahl von Zugangsdaten und Cookies, Session-Hijacking und das Einschleusen unerwünschter Werbung.
Durch gezielte Phishing-Nachrichten gelang es Angreifern, die Google-Konten der Entwickler zu kompromittieren, wie Bleeping Computer berichtet. Sobald die Angreifer Zugriff auf diese Konten hatten, konnten sie schädlichen Code in die Erweiterungen integrieren und Updates über den offiziellen Chrome Web Store verteilen.
Unter den Opfern befindet sich auch das Cybersicherheitsunternehmen Cyberhaven. Am 24. Dezember 2024 veröffentlichten die Angreifer eine mit Malware infizierte Version ihrer Chrome-Erweiterung. Das Unternehmen konnte den Angriff innerhalb von 60 Minuten entdecken und stoppen.
Eine Analyse von Domaintools zeigt, dass die Angreifer komplexe Methoden einsetzen, um Sicherheitsrichtlinien zu umgehen. Dazu gehört die Verwendung temporärer DOM-Elemente, die schwer zu erkennen sind. Die gefälschten Erweiterungen tarnen sich als legitime Dienste – darunter Produktivitätstools, VPN-Services sowie Anwendungen für Krypto- und Banking-Services.
Der Angriff beginnt typischerweise mit einer täuschend echten E-Mail, die vorgibt, von Google zu stammen. Diese warnt vor angeblichen Richtlinienverstößen und fordert den Entwickler auf, Maßnahmen zu ergreifen. Klickt der Entwickler auf den enthaltenen Link, gewährt er unbewusst Zugriff auf sein Konto.
Während die vollständige Liste der kompromittierten Erweiterungen nicht veröffentlicht wurde, konzentrieren sich die Angreifer besonders auf Add-ons, die mit sensiblen Daten arbeiten. Die manipulierten Erweiterungen versuchten unter anderem, Login-Daten für Social-Media-Accounts und KI-Anwendungen abzugreifen. Laut der IT-Sicherheitsberatung Annex soll die kompromittierte Cyberhaven-Version auf Login-Daten für ChatGPT abgezielt haben.
