Cyberhaven, Chrome tarayıcı uzantılarına yönelik bir saldırı hedefi olduğunu duyurdu. Şirket, özellikle 24 Aralık – 26 Aralık 2024 tarihleri arasında Chrome uzantısının 24.10.4 sürümünü kullanan müşterilerinin, uzantıyı hemen 24.10.5 sürümüne güncellemeleri gerektiğini bildirdi. Ayrıca, FIDOv2 olmayan tüm şifrelerin iptal edilmesini veya değiştirilmesini ve logların şüpheli etkinlikler için incelenmesini önerdi.
Saldırganlar, bir Cyberhaven çalışanını hedef alan bir kimlik avı saldırısı düzenleyerek Google Chrome Web Mağazası kimlik bilgilerini ele geçirdi. Bu sayede, zararlı kod içeren bir uzantı (sürüm 24.10.4) mağazada yayınlandı ve kullanıcıların tarayıcılarına otomatik olarak yüklendi.
Cyberhaven, saldırıyı 25 Aralık UTC saat 11:54’te tespit etti ve zararlı paketi 60 dakika içinde mağazadan kaldırdı. Kullanıcılar için şu uyarılar paylaşıldı;
- Sadece 24.10.4 sürümü etkilendi.
- Zararlı kod, 25 Aralık saat 01:32 ile 26 Aralık saat 02:50 arasında aktif oldu.
- Sadece bu süre zarfında otomatik güncelleme yapan Chrome tabanlı tarayıcılar etkilendi.
- Diğer Cyberhaven sistemleri (CI/CD süreçleri ve kod imzalama anahtarları dahil) bu saldırıdan etkilenmedi.
Etkilenen uzantılar, belirli sosyal medya reklam platformları ve diğer bazı giriş bilgilerini hedef aldı. Cyberhaven, saldırının ardından şu adımları attı:
- Etkilenen müşterilere 26 Aralık UTC saat 10:09’da bildirim gönderildi.
- Üçüncü taraf bir adli analiz firması ile iş birliği yapıldı.
- Yetkililerle iletişim kurularak saldırının kapsamı araştırılmaya başlandı.
- Güvenliği artırmak için ek önlemler alındı.
Cyberhaven, bu olayla ilgili soruşturma sonuçlarını müşterileriyle paylaşarak güveni yeniden tesis etmeyi hedefliyor. Şirketle iletişime geçmek için security@cyberhaven.com adresine e-posta gönderebilirsiniz.