Das Ende des letzten Jahres endete mit einem ziemlich groß angelegten Cyberangriff, der vor ein paar Tagen bekannt wurde. Die Angreifer versuchten, eine Sicherheitslücke im Authentifizierungssystem für Entwickler im Google Web Store auszunutzen, was ihnen leider gelang.

Bei den Angriffen wurden ausgeklügelte Techniken eingesetzt, die als Spear-Phishing bekannt sind. Dabei werden gezielt bestimmte Personen oder kleine Gruppen von Personen angesprochen, um mit Hilfe von Daten die Aufmerksamkeit der Zielpersonen zu erregen und sie in die Falle der Cyberkriminellen zu locken, damit sie sensible Informationen preisgeben. Infolge dieser ausgeklügelten Angriffsserie sind viele Entwickler von Chrome-Plugins in eine Falle getappt, da Cyberkriminelle ihre Anmeldedaten erlangt und beliebte Plugins so verändert haben, dass sie bösartigen Code einschleusen.

Der Vorfall wurde von Cyberheaven-Experten entdeckt, die ein spezielles Plugin entwickeln, um zu verhindern, dass Nutzer versehentlich vertrauliche Informationen über verschiedene E-Mails oder Websites weitergeben. Dies war das erste der anvisierten Plugins, das von Cyberkriminellen angegriffen wurde, und leider hatten sie Erfolg. Der Angriff könnte am Abend des 24. Dezember 2024 stattgefunden haben, und es scheint, dass nicht nur die Plugins von Cyberheaven erfolgreich war, sondern auch diese von einer Reihe anderer Unternehmen.

Das Plugin von Cyberheaven, Version 24.10.4, war etwa 31 Stunden lang verfügbar, d. h. Nutzer konnten sie am 25. und 26. Dezember herunterladen, und auch diejenigen, die bereits eine frühere Version verwendet hatten, erhielten den Schadcode automatisch, und der Schadcode wurde automatisch ausgeführt. Der bösartige Code lud Inhalte von verschiedenen Websites herunter, die die offizielle Cyberheaven-Website imitierten.

Als Ergebnis der umfassenden Untersuchung wurden neben dem Cyberheaven-Plugin, die ebenfalls Schadcode enthielt, mindestens 19 weitere Plugins angegriffen. Dies wurde von John Tuckner, dem Gründer von Secure Annex, der ein Unternehmen für die Analyse und Verwaltung von Plugins betreibt, hervorgehoben. In den anderen Fällen nutzten die Angreifer ausgeklügelte Phishing-Techniken, um an die Kontodaten der betroffenen Entwickler zu gelangen. Insgesamt wurden mindestens 20 Plugins infiziert und mindestens 1,46 Millionen Systeme luden die infizierten Dateien herunter. Sicherheitsexperten analysieren derzeit die Dateien und den bösartigen Code, um festzustellen, ob die bösartigen Plug-ins in der Lage waren, über den bösartigen Code an sensible Daten des durchschnittlichen Benutzers zu gelangen.

Leider handelt es sich hierbei nicht um einen beispiellosen Vorfall, denn ähnliche Angriffe gab es bereits im Jahr 2019, als neben Chrome auch Firefox-Plugins angegriffen wurden und mindestens vier Millionen Geräte kompromittierten, darunter auch solche, die zu den Netzwerken großer Unternehmen wie Tesla, Symantec und Blue Origin gehörten.

Weitere Untersuchungen ergaben, dass ein beliebtes Plug-in namens Reader Mode ebenfalls Ziel eines früheren Angriffs war, bei dem bösartiger Code eingeschleust wurde, und dass die infizierte Version schon sehr lange, nämlich seit April 2023, auf ahnungslose Opfer losgelassen wurde. Die Analyse zeigt, dass das infizierte Plugin kontinuierlich Website-Aufrufe registriert hat. Insgesamt nutzten 13 andere Plugins die infizierte Plugin als zusätzliche Bibliothek, wodurch sie insgesamt 1,14 Millionen Systeme erreichen und sensible Nutzerdaten sammeln konnte.

Daher sollten diese Plugins nur mit äußerster Vorsicht verwendet werden, da sie eine Reihe von Sicherheitsrisiken bergen. Truckner rät Unternehmen, eine Liste der zu verwendenden Plugins zu erstellen, in der nur die absolut notwendigen aufgeführt sind, und die Verwendung anderer Plugins einfach zu verbieten.