Повідомляється, що цього місяця хакерам вдалося змінити кілька розширень Chrome за допомогою шкідливого коду після отримання доступу до облікових записів адміністратора через фішингову кампанію. Компанія Cyberhaven, що займається кібербезпекою, повідомила цими вихідними, що її розширення Chrome було скомпрометовано 24 грудня під час атаки, яка, здається, була «націлена на вхід до певної реклами в соціальних мережах і платформ ШІ». Кілька інших розширень також були вражені, починаючи з середини грудня, повідомили. За даними Nudge Security, це включає ParrotTalks, Uvoice і VPNCity.

Cyberhaven повідомив своїх клієнтів 26 грудня в електронному листі, який переглянув який порадив їм відкликати та змінити свої паролі та інші облікові дані. Початкове розслідування інциденту, проведене компанією, показало, що зловмисне розширення було націлено на користувачів Facebook Ads з метою викрадення таких даних, як маркери доступу, ідентифікатори користувачів та інша інформація облікового запису, а також файли cookie. Код також додав обробник клацань миші. «Після успішного надсилання всіх даних до [Command & Control] на сервері, ідентифікатор користувача Facebook зберігається в пам’яті браузера», – йдеться в аналізі Cyberhaven. «Цей ідентифікатор користувача потім використовується в подіях клацання миші, щоб допомогти зловмисникам із 2FA на їхньому боці, якщо це необхідно».

У Cyberhaven заявили, що вперше виявили злом 25 грудня та змогли видалити шкідливу версію розширення протягом години. Відтоді було випущено чисту версію.