해커는 2024년 12월 24일에 발생한 피싱 공격을 통해 Cyberhaven에서 개발한 확장 프로그램을 포함하여 여러 Chrome 확장 프로그램을 손상시켜 관리자 계정에 액세스하고 악성 코드로 확장 프로그램을 수정했습니다.
Cyberhaven 공격의 세부정보
Cyberhaven은 블로그 게시물을 통해 확장 프로그램이 표적이 되었으며, 이 공격은 12월 25일 오전 1시 32분(UTC)부터 12월 26일 오전 2시 50분(UTC)까지 사용자에게 적극적으로 영향을 미쳤음을 확인했습니다. 악성 버전은 손상된 자격 증명을 사용하여 크리스마스 이브에 게시되었습니다. 버전 24.10.4를 게시하세요.
침해 사고는 12월 25일에 감지되었으며 Cyberhaven은 한 시간 내에 악성 확장 프로그램을 제거했습니다. Cyberhaven은 12월 26일에 영향을 받은 고객에게 통지하여 비밀번호 및 기타 자격 증명을 취소하고 교체하도록 권고했습니다. 이 공격은 이중 인증을 우회하기 위해 액세스 토큰, 사용자 ID, 쿠키 등 Facebook 광고 사용자의 데이터를 훔치는 데 초점을 맞춘 것으로 보입니다.
이 사건은 알려진 Chrome 확장 프로그램을 표적으로 삼는 광범위한 캠페인의 일부로, 최소 16개의 확장 프로그램이 손상되고 600,000명 이상의 사용자가 영향을 받았습니다. 손상된 것으로 확인된 추가 확장 프로그램으로는 ParrotTalks, Uvoice, VPNCity 등이 있습니다.
피싱 공격은 확장 프로그램 제거가 임박했음을 제안하고 Cyberhaven 직원이 “개인 정보 보호 정책 확장”이라는 악성 OAuth 애플리케이션을 승인하도록 유인하여 긴급성을 유도하는 것을 목표로 했습니다. 이 승인 후 공격자는 악성 확장 프로그램을 게시하는 데 필요한 권한을 얻었습니다.
Cyberhaven은 외부 사고 대응 회사와 협력하고 있으며 연방 법 집행 기관과 협력하고 있다고 밝혔습니다. 유사한 사고를 방지하기 위해 추가 보안 조치를 구현했으며 손상된 버전을 제거한 후 확장 프로그램의 깨끗한 버전(24.10.5)을 게시했습니다.
손상된 확장 프로그램을 사용하는 고객은 버전 24.10.5 이상으로의 업데이트를 확인하고 의심스러운 활동이 있는지 로그를 검토하는 것이 좋습니다.
주요 이미지 출처: Kerem Gülen/Midjourney
해커가 피싱 공격으로 여러 Chrome 확장 프로그램을 손상시킨 게시물이 TechBriefly에 처음 나타났습니다.
