Pięć złośliwych rozszerzeń Chrome podszywa się pod Workday i NetSuite – przejmowanie sesji i blokowanie reakcji SOC

Wprowadzenie do problemu / definicja luki

Rozszerzenia przeglądarki stały się pełnoprawnym wektorem ataku na środowiska firmowe: działają w kontekście użytkownika, widzą ruch do aplikacji SaaS, potrafią manipulować DOM i – przy odpowiednich uprawnieniach – czytać oraz ustawiać cookies. W połowie stycznia 2026 r. opisano kampanię obejmującą 5 złośliwych rozszerzeń Chrome, które podszywają się pod narzędzia zwiększające produktywność dla platform Workday, NetSuite i SuccessFactors, a ich realnym celem jest przejęcie kont przez hijacking sesji i utrudnienie reakcji na incydent.

W skrócie

• Wykryto 5 rozszerzeń powiązanych wspólną infrastrukturą i kodem; łącznie dotarły do ok. 2 300+ użytkowników.
• Kluczowe techniki: eksfiltracja cookies, blokowanie paneli administracyjnych (DOM manipulation) oraz wstrzykiwanie cookies do przeglądarki atakującego (session hijacking).
• Część dodatków została zdjęta ze sklepu Chrome, ale mogą krążyć w serwisach “downloadowych”, co zwiększa ryzyko reinfekcji.
• Wspólny “smaczek”: rozszerzenia wykrywają obecność narzędzi bezpieczeństwa i devtools (lista 23 znanych dodatków), co sugeruje świadome omijanie analizy i utrudnianie wykrycia.

Kontekst / historia / powiązania

Opis kampanii opublikowano 16 stycznia 2026 (The Hacker News), a szczegółową analizę dzień wcześniej – 15 stycznia 2026 – przedstawił zespół Threat Research firmy Socket.

Atak jest ukierunkowany na systemy HR/ERP (Workday/NetSuite/SuccessFactors), czyli aplikacje, które często:

• są dostępne z internetu (SaaS),
• mają dużą wartość biznesową (dane pracownicze, payroll, uprawnienia, integracje),
• są używane przez działy HR/Finanse/IT z szerokimi uprawnieniami.

Analiza techniczna / szczegóły luki

1. Lista zidentyfikowanych rozszerzeń (nazwy i ID)

Według opisu kampanii chodzi o następujące dodatki (nazwa → Extension ID):

• DataByCloud Access → oldhjammhkghhahhhdcifmmlefibciph
• Tool Access 11 → ijapakghdgckgblfgjobhcfglebbkebf
• DataByCloud 1 → mbjjeombjeklkbndcjgmfcdhfbjngcam
• DataByCloud 2 → makdmacamkifdldldlelollkkjnoiedg
• Software Access → bmodapcihjhklpogdpblefpepjolaoij

2. Kradzież cookies i ciągła eksfiltracja tokenów

Rozszerzenia (m.in. DataByCloud Access / DataByCloud 1 / Software Access) mają żądania uprawnień pozwalające pracować na ciasteczkach oraz działać na domenach aplikacji HR/ERP. Następnie:

• wyciągają cookies sesyjne (w analizie Socket wskazano m.in. mechanizm polowania na cookie __session),
• wysyłają je cyklicznie do infrastruktury atakującego (np. co 60 sekund),
• wykorzystują wspólne ścieżki API (np. /api/v1/mv3) na różnych domenach C2 (api.databycloud[.]com, api.software-access[.]com).

Praktycznie oznacza to: choćby jeżeli użytkownik “na chwilę” się zaloguje, atakujący dostaje aktualny artefakt sesji i może go użyć do przejęcia dostępu.

3. Blokowanie reakcji na incydent przez manipulację DOM

Dwa rozszerzenia w szczególności (Tool Access 11 oraz DataByCloud 2) realizują scenariusz wyjątkowo groźny dla SOC/IT:

• wykrywają wejście na strony administracyjne Workday (po tytułach/elementach DOM),
• czyszczą treść strony i przekierowują na błędne URL-e,
• blokują dziesiątki widoków związanych z bezpieczeństwem: zarządzanie sesjami, polityki, IP range, 2FA, historia logowań, zmiana hasła, dezaktywacja konta itd.

To jest “podwójne uderzenie”: najpierw kradzież sesji, potem utrudnienie naprawy (containment) bezpośrednio w panelu narzędzia.

4. Session hijacking przez wstrzyknięcie cookies

Najbardziej “zaawansowany” element kampanii dotyczy rozszerzenia Software Access: oprócz kradzieży potrafi ono odebrać ciasteczka z serwera atakującego i ustawić je w przeglądarce (np. przy użyciu chrome.cookies.set()), co umożliwia atakującemu odtworzenie stanu uwierzytelnienia i przejęcie sesji bez znajomości hasła.

5. Wykrywanie narzędzi bezpieczeństwa

Wszystkie 5 rozszerzeń zawiera listę 23 “security-related” dodatków (np. menedżery cookies, narzędzia do nagłówków, devtools), które są enumerowane i raportowane – prawdopodobnie, aby ocenić ryzyko wykrycia lub utrudnić analizę.

Praktyczne konsekwencje / ryzyko

Najważniejsze skutki biznesowe dla organizacji korzystających z Workday/NetSuite/SuccessFactors:

• przejęcie konta bez hasła (sesja zamiast credentiali),
• potencjalny dostęp do danych kadrowych, płacowych, uprawnień i integracji,
• utrudniona reakcja: administrator widzi incydent (np. anomalie logowań), ale nie może wykonać standardowych działań naprawczych w panelu,
• ryzyko utrzymywania się dostępu (persistence) przez ciągłą eksfiltrację cookies.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (endpoint)

1. Usuń podejrzane rozszerzenia (po nazwie i po Extension ID).
2. Po usunięciu: zrestartuj przeglądarkę i sprawdź, czy nie ma “resztek” (inne dodatki z podobnym wydawcą/opisem).
3. Zmień hasła do kont Workday/NetSuite/SuccessFactors i wszędzie tam, gdzie używasz tego samego hasła.
4. Jeśli platforma to umożliwia: wyloguj wszystkie sesje / unieważnij tokeny i sprawdź historię logowań.
5. Włącz / podnieś poziom ochrony Chrome (np. instalacja dodatków w trybie wzmocnionej ochrony, gdzie dostępne).

Dla IT/SOC (organizacje zarządzane)

1. Zablokuj instalację tych Extension ID na poziomie polityk (blocklist) i przejdź na model allowlist dla rozszerzeń firmowych.
2. Wymuś zasadę least privilege w ocenie dodatków: rozszerzenia żądające uprawnień do cookies / management / szerokich host permissions traktuj jako “high risk” i wymagaj uzasadnienia.
3. Dodaj detekcje:
   • ruch do podejrzanych domen C2 (np. api.databycloud[.]com, api.software-access[.]com),
   • nietypowe częste odczyty cookies / alarmy co minutę (jeśli masz telemetrię przeglądarkową),
   • anomalie logowań do Workday/NetSuite (nowe geolokacje/urządzenia).
4. W procesach IR uwzględnij scenariusz, iż panel administracyjny może być “sabotażowany” w przeglądarce – miej alternatywne ścieżki (inna przeglądarka/urządzenie, profil “clean”, dostęp z VM).

Różnice / porównania z innymi przypadkami

Ta kampania wyróżnia się tym, iż nie kończy się na kradzieży danych – idzie krok dalej:

• blokuje funkcje bezpieczeństwa w aplikacji (sabotage / anti-remediation),
• wdraża dwukierunkową obsługę cookies (kradzież + wstrzyknięcie), czyli pełny mechanizm session hijacking “end-to-end”.

To wpisuje się w trend, w którym rozszerzenia przeglądarkowe są projektowane jako narzędzia do przejęć sesji w SaaS (a nie tylko adware).

Podsumowanie / najważniejsze wnioski

• 5 złośliwych rozszerzeń udających narzędzia dla Workday/NetSuite/SuccessFactors realizuje kradzież sesji + utrudnianie reakcji.
• Największe ryzyko dla firm wynika z faktu, iż sesja bywa “ważniejsza niż hasło” – MFA nie zawsze ochroni, jeżeli token sesyjny zostanie skradziony.
• Najskuteczniejsza obrona w enterprise to allowlista dodatków + twarde polityki instalacji + monitoring domen C2 + procedury IR uwzględniające przeglądarkę jako wektor ataku.

Źródła / bibliografia

1. The Hacker News – opis kampanii i lista rozszerzeń (16 stycznia 2026). (The Hacker News)
2. Socket Threat Research – analiza techniczna (15 stycznia 2026). (Socket)
3. Google – Chrome Web Store Help: instalowanie i wskazówki bezpieczeństwa (Enhanced protection / “trusted extensions”). (Google Help)
4. Google – Chrome Enterprise: allow/block apps & extensions oraz ExtensionSettings policy. (Google Help)
5. Google – Chrome for Developers: uprawnienia i deklarowanie permissions w rozszerzeniach. (Chrome for Developers)