Kampania cyberataków umieściła złośliwy kod w wielu rozszerzeniach przeglądarki Chrome już w połowie grudnia, Reutera zgłoszono wczoraj. Wygląda na to, iż kod ma na celu kradzież plików cookie przeglądarki i sesji uwierzytelniania, a jego celem jest „określone reklamy w mediach społecznościowych i platformy sztucznej inteligencji”. zgodnie z wpisem na blogu z Cyberhaven, jednej z firm będących celem.
Cyberhaven obwinia za atak wiadomość e-mail phishingową, pisząc w: osobny post dotyczący analizy technicznej iż kod najwyraźniej był przeznaczony specjalnie dla kont Facebook Ads. Według Reuters, sbadacz bezpieczeństwa Jaime Blasco uważa, iż atak był „po prostu przypadkowy” i nie był wymierzony konkretnie w Cyberhaven. On opublikowano w X iż znalazł rozszerzenia VPN i AI, które zawierały ten sam złośliwy kod, który został wstawiony do Cyberhaven.
Cyberhaven twierdzi, iż hakerzy przekazali aktualizację (wersję 24.10.4) rozszerzenia do zapobiegania utracie danych Cyberhaven zawierającą złośliwy kod w Wigilię o 20:32 czasu wschodniego. Cyberhaven twierdzi, iż odkrył kod 25 grudnia o 18:54 ET i usunął go w ciągu godziny, ale kod był aktywny do 25 grudnia o 21:50 ET. Firma twierdzi, iż wydała czystą wersję w aktualizacji 24.10.5.
Zalecenia Cyberhaven dla firm, których może to dotyczyć, obejmują sprawdzenie swoich dzienników pod kątem podejrzanej aktywności oraz unieważnienie lub zmianę haseł, które nie korzystają ze standardu uwierzytelniania wieloczynnikowego FIDO2. Przed opublikowaniem swoich postów firma powiadomiła klientów e-mailem, iż TechCrunch zgłoszone Piątkowy poranek.
