Il mondo della sicurezza informatica è nuovamente in fermento dopo la scoperta di un sofisticato attacco informatico che ha preso di mira diverse estensioni popolari del browser Chrome. L’incidente, emerso nelle ultime settimane di dicembre 2024, ha evidenziato una nuova vulnerabilità nel sistema di protezione delle estensioni del browser più utilizzato al mondo.

La società di cybersicurezza Cyberhaven è stata tra le prime a individuare e segnalare l’attacco, che ha coinvolto la propria estensione Chrome il 24 dicembre. L’azienda ha immediatamente avviato un’indagine approfondita, rivelando che gli hacker erano riusciti a infiltrarsi negli account amministrativi attraverso una campagna di phishing ben orchestrata.

Secondo quanto emerso dalle analisi preliminari, l’obiettivo principale degli attaccanti era quello di intercettare gli accessi a specifiche piattaforme di advertising sui social media e di intelligenza artificiale. Il codice malevolo inserito nelle estensioni era progettato in particolare per colpire gli utenti di Facebook Ads, con l’intento di sottrarre token di accesso, ID utente e altre informazioni sensibili dell’account.

L’attacco non si è limitato a Cyberhaven. Come riportato da Reuters, altre estensioni popolari sono state compromesse già da metà dicembre, tra cui ParrotTalks, Uvoice e VPNCity. La situazione ha destato particolare preoccupazione nella comunità degli sviluppatori e degli esperti di sicurezza.

Un elemento particolarmente insidioso del codice malevolo era la sua capacità di monitorare i click del mouse degli utenti. Secondo l’analisi di Cyberhaven, dopo aver trasmesso i dati rubati al server di comando e controllo, il malware salvava l’ID utente Facebook nella memoria del browser. Questa informazione veniva poi utilizzata per tracciare gli eventi di click del mouse, probabilmente per aiutare gli attaccanti a superare eventuali sistemi di autenticazione a due fattori (2FA).

Per fortuna, la risposta di Cyberhaven all’incidente è stata rapida ed efficace. L’azienda ha individuato la violazione il 25 dicembre e, nel giro di un’ora, è riuscita a rimuovere la versione compromessa dell’estensione, sostituendola con una versione pulita. Inoltre, ha prontamente informato i propri clienti attraverso una comunicazione email il 26 dicembre, consigliando loro di revocare e modificare immediatamente password e altre credenziali di accesso.

La facilità con cui i criminali informatici sono riusciti a compromettere gli account amministrativi attraverso il phishing ricorda ancora una volta la crescente necessità di implementare misure di sicurezza più robuste e di mantenere un alto livello di vigilanza.