Skip to content
Chaîne d’approvisionnementContenu

Fuite chez Cyberhaven

Le 25 déc. 2024, l'extension Chrome de l'éditeur de sécurité Cyberhaven a été détournée via un hameçonnage et a diffusé une mise à jour malveillante qui a exfiltré cookies et jetons de session d'environ 400 000 utilisateurs sur 24 heures.

Victime
Cyberhaven

Le 25 décembre 2024, Cyberhaven — un éditeur américain de solutions de prévention des fuites de données et de gestion des menaces internes — a révélé que son extension officielle pour le navigateur Chrome avait été compromise dans le cadre d'une attaque sur la chaîne d'approvisionnement. Un employé a été piégé par un courriel d'hameçonnage usurpant le support du Chrome Web Store de Google, qui l'a conduit à autoriser une application OAuth malveillante (« Privacy Policy Extension »). Les attaquants ont ainsi obtenu l'accès au compte développeur de l'entreprise, depuis lequel ils ont publié une mise à jour piégée de l'extension Cyberhaven.

La version vérolée (v24.10.4) s'est propagée automatiquement à environ 400 000 utilisateurs et est restée active d'environ 01h32 UTC le 25 décembre à 02h50 UTC le 26 décembre — une fenêtre choisie pour coïncider avec les fêtes de Noël, lorsque les équipes de sécurité fonctionnent en effectif réduit. Le code malveillant agissait comme un voleur d'informations, injectant du JavaScript dans les pages web pour récupérer des sessions authentifiées, avec une attention particulière portée aux identifiants Facebook et aux plateformes d'IA.

Les données exposées ou ciblées comprenaient :

  • Les cookies de navigation et les jetons de session authentifiés
  • Les jetons d'accès Facebook, identifiants utilisateurs et données de compte
  • Les clés d'API de plateformes telles qu'OpenAI

Les enquêteurs ont par la suite rattaché l'incident à une campagne plus large ayant compromis plus de 30 autres extensions Chrome, touchant au total quelque 2,6 millions d'utilisateurs. L'équipe de sécurité de Cyberhaven a détecté et retiré la version malveillante en une soixantaine de minutes, a publié une version saine vérifiée (v24.10.5) et a invité les utilisateurs concernés à renouveler leurs mots de passe, à révoquer et régénérer leurs clés d'API et à vérifier l'activité de leurs comptes.

Sources

  1. lemagit.frhttps://www.lemagit.fr/actualites/366617606/Chaine-logistique-du-logiciel-Cyberhaven-touche-par-une-cyberattaque
  2. techcrunch.comhttps://techcrunch.com/2024/12/27/cyberhaven-says-it-was-hacked-to-publish-a-malicious-update-to-its-chrome-extension/
  3. securityweek.comhttps://www.securityweek.com/cyberhaven-chrome-extension-hack-linked-to-widening-supply-chain-campaign/
  4. blog.sekoia.iohttps://blog.sekoia.io/targeted-supply-chain-attack-against-chrome-browser-extensions/

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez Cybertek

Le 12 septembre 2024, le revendeur informatique français Cybertek a révélé une fuite de données clients liée à un prestataire informatique commun compromis, exposant noms, adresses e-mail et postales et numéros de téléphone ; mots de passe et données bancaires non touchés.

Victim
Cybertek