Tiện ích mở rộng Chrome của công ty an ninh mạng bị chiếm đoạt để đánh cắp mật khẩu người dùng

Phần 1: Vụ tấn công chiếm đoạt tiện ích Chrome của Cyberhaven

Vào ngày 25 tháng 12, Cyberhaven, một startup bảo vệ chống thất thoát dữ liệu (Data-Loss Prevention), thông báo rằng một bản cập nhật độc hại đã được phát hành cho tiện ích Chrome của mình, có khả năng đánh cắp mật khẩu và token phiên của khách hàng. Theo email gửi đến các khách hàng bị ảnh hưởng, vụ tấn công được cho là thuộc dạng chuỗi cung ứng (supply-chain attack) khi tin tặc xâm nhập vào tài khoản công ty của Cyberhaven để phát hành bản cập nhật độc hại.

Phiên bản tiện ích bị tấn công (24.10.4) đã bị gỡ bỏ khỏi Chrome Web Store vào buổi chiều cùng ngày, và một phiên bản an toàn mới (24.10.5) được tung ra ngay sau đó. Cyberhaven cho biết đã phát hiện sự cố và nhanh chóng khắc phục, đồng thời khuyến nghị khách hàng thay đổi mật khẩu, API tokens và xem xét các nhật ký hệ thống để phát hiện hoạt động độc hại.

Cyberhaven hiện đang hợp tác với công ty phản ứng sự cố Mandiant và cơ quan thực thi pháp luật để điều tra vụ việc. Tuy nhiên, số lượng khách hàng bị ảnh hưởng vẫn chưa được công bố. Danh sách khách hàng lớn của công ty bao gồm Motorola, Reddit, và Snowflake, cũng như các công ty luật và bảo hiểm y tế.

Phần 2: Chiến dịch tấn công trên diện rộng nhắm vào các tiện ích Chrome

Không chỉ Cyberhaven, mà nhiều tiện ích Chrome khác cũng bị tấn công trong cùng chiến dịch này. Theo Jaime Blasco, đồng sáng lập và CTO của Nudge Security, các tiện ích khác liên quan đến AI, năng suất làm việc, và VPN cũng bị ảnh hưởng, với một số tiện ích có hàng chục nghìn người dùng. Blasco nhận định đây là một cuộc tấn công cơ hội nhắm vào nhiều nhà phát triển tiện ích, tận dụng thông tin đăng nhập của họ.

Cyberhaven xác nhận rằng cuộc tấn công không nhằm mục tiêu cụ thể vào công ty mà là một phần của chiến dịch lớn hơn nhắm vào các nhà phát triển tiện ích Chrome trên diện rộng. Tại thời điểm hiện tại, danh tính của những kẻ tấn công vẫn chưa được xác định, và danh sách các công ty bị ảnh hưởng vẫn chưa được làm rõ.

Vụ việc nhấn mạnh tầm quan trọng của việc bảo mật tài khoản của các nhà phát triển phần mềm trên các nền tảng như Chrome Web Store, đồng thời đặt ra câu hỏi về chính sách bảo mật và phản ứng nhanh của các công ty bị ảnh hưởng.

Tổng kết

Vụ tấn công nhắm vào tiện ích Chrome của Cyberhaven là một lời cảnh báo rõ ràng về những rủi ro tiềm ẩn trong chuỗi cung ứng phần mềm. Không chỉ Cyberhaven, mà nhiều tiện ích khác cũng bị ảnh hưởng trong chiến dịch tấn công diện rộng này. Sự cố không chỉ gây tổn hại đến danh tiếng của các công ty mà còn đe dọa nghiêm trọng đến bảo mật thông tin của khách hàng, bao gồm mật khẩu và token phiên.

Để đối phó, các tổ chức cần tăng cường biện pháp bảo mật, đặc biệt là quản lý tài khoản phát triển, kiểm tra nhật ký hệ thống thường xuyên, và nâng cao năng lực phản ứng nhanh khi xảy ra sự cố. Đồng thời, các nhà phát triển phần mềm cũng cần cảnh giác hơn trước những nguy cơ từ các cuộc tấn công chuỗi cung ứng, vốn đang trở nên ngày càng phổ biến và phức tạp.