Existem pelo menos 33 extensões do Chrome comprometidas e que foram alvo de ciberataques durante a época natalícia. A descoberta foi feita inicialmente pela empresa de cibersegurança Cyberhaven, que confirmou um ataque malicioso na sua própria extensão para o Chrome. A empresa refere que detetou o ataque durante a véspera de Natal, mas rapidamente chegou à conclusão que não tinha sido a única afetada e que havia outras extensões vulneráveis.

Segundo aponta no seu blogue, um ataque de phishing comprometeu o acesso ao Chrome Web Store de um trabalhador da empresa. O hacker usou esse acesso para publicar uma versão maliciosa da sua extensão (a versão 24.10.4). A equipa de segurança da Cyberhaven detetou a ocorrência em menos de 24 horas e removeu a extensão maliciosa, que afetou 400 mil dos seus clientes.

Ainda assim, o ataque impactou outros browsers baseados em Chrome e segundo a empresa, browsers a correr esta extensão comprometida durante este período poderão ter sido partilhados cookies e sessões autenticadas em certos websites alvos dos ataques. Os investigadores dizem que nas suas descobertas iniciais, o hacker estava a mirar logins de anúncios específicos de redes sociais e plataformas de IA.

O alerta da Cyberhaven despertou a atenção de outros investigadores de cibersegurança, chegando-se à conclusão que foram afetadas pelo menos 33 extensões e que os dados de 2,6 milhões de equipamentos foram comprometidos, avança o Arstechnica. Os developers e investigadores descobriram que o ataque foi realizado a outras extensões, em muitos casos com sucesso, através da mesma campanha de spear phishing. Estima-se que, coletivamente, as 20 extensões afetadas agora descobertas tenham somado 1,46 downloads.

Veja na galeria a lista das extensões afetadas:

O fundador da Secure Annex, John Tuckner, apontou que além da Cyberhaven, 19 outras extensões do Chrome tinham sido comprometidas, numa campanha que começou em maio de 2024. Numa investigação mais a fundo, a empresa descobriu que uma das extensões comprometidas, chamada Reader Mode, também fazia parte de uma campanha de ataque separada que começou ainda mais cedo, em abril de 2023. Esta campanha afetou 13 extensões, num total de 1,14 milhões de instalações.

Os investigadores alertam quem utilizou as extensões comprometidas listadas devem mudar palavras-passe e outras credenciais de autenticação.