Hàng loạt tiện ích mở rộng Chrome bị tấn công, đánh cắp dữ liệu của hàng triệu người dùng
Cuối năm 2024, trong khi mọi người đang tận hưởng kỳ nghỉ lễ, một nhóm các nhà nghiên cứu đã phát hiện ra một vụ tấn công mạng đáng chú ý. Ít nhất 33 tiện ích mở rộng trên Chrome Web Store, một số đã tồn tại trong 18 tháng, đã bí mật thu thập dữ liệu nhạy cảm từ khoảng 2,6 triệu thiết bị.
Vụ việc bắt đầu được phát hiện khi Cyberhaven, một dịch vụ ngăn ngừa mất dữ liệu, nhận thấy tiện ích mở rộng của họ, được 400.000 khách hàng sử dụng, đã bị cập nhật với mã độc đánh cắp dữ liệu. Phiên bản độc hại này (24.10.4) đã hoạt động trong 31 giờ, từ ngày 25 tháng 12 đến ngày 26 tháng 12. Các trình duyệt Chrome đang chạy Cyberhaven trong khoảng thời gian này sẽ tự động tải xuống và cài đặt mã độc.
Mã độc được thiết kế để đánh cắp cookie trình duyệt và thông tin đăng nhập cho các trang web như facebook.com và chatgpt.com. Kẻ tấn công đã sử dụng email lừa đảo nhắm vào các nhà phát triển của Cyberhaven vào đêm Giáng sinh. Email này cảnh báo rằng tiện ích mở rộng của họ vi phạm điều khoản của Google và sẽ bị gỡ bỏ trừ khi nhà phát triển thực hiện hành động ngay lập tức.
Bằng cách nhấp vào liên kết trong email, nhà phát triển đã vô tình cấp quyền cho ứng dụng OAuth giả mạo có tên "Privacy Policy Extension", cho phép kẻ tấn công tải lên phiên bản độc hại của tiện ích mở rộng Cyberhaven lên Chrome Web Store.
Không chỉ Cyberhaven, nhiều tiện ích mở rộng khác cũng bị tấn công theo cách tương tự. Tính đến thời điểm hiện tại, đã có ít nhất 19 tiện ích mở rộng khác bị xâm nhập, nâng tổng số lượt tải xuống của các tiện ích mở rộng bị ảnh hưởng lên tới 1,46 triệu.
Điều đáng lo ngại hơn là một trong những tiện ích mở rộng bị xâm nhập, có tên là "Reader Mode", đã bị tấn công từ tháng 4 năm 2023 thông qua một chiến dịch riêng biệt. Nguyên nhân được cho là do một thư viện mã mà các nhà phát triển sử dụng để kiếm tiền từ tiện ích mở rộng của họ. Thư viện này thu thập chi tiết về mỗi lượt truy cập web, và đổi lại, nhà phát triển nhận được hoa hồng. Có ít nhất 13 tiện ích mở rộng khác sử dụng thư viện này, với tổng số 1,14 triệu lượt cài đặt, cũng có nguy cơ bị lộ dữ liệu.
Vụ việc này một lần nữa nhấn mạnh lỗ hổng bảo mật của các tiện ích mở rộng trình duyệt. Người dùng nên cẩn trọng khi cài đặt tiện ích mở rộng, chỉ nên cài đặt từ các nguồn đáng tin cậy và thường xuyên kiểm tra quyền truy cập của chúng. Các tổ chức cần có biện pháp quản lý chặt chẽ các tiện ích mở rộng được phép chạy trong môi trường làm việc. Người dùng đã cài đặt bất kỳ tiện ích mở rộng nào bị ảnh hưởng nên thay đổi mật khẩu và thông tin đăng nhập khác ngay lập tức.
Ngoài ra, người dùng cũng nên thường xuyên cập nhật trình duyệt và hệ điều hành để vá các lỗ hổng bảo mật. Việc sử dụng phần mềm diệt virus và tường lửa cũng là một biện pháp cần thiết để bảo vệ thiết bị khỏi các mối đe dọa trực tuyến.
