A finales de diciembre de 2024, se detectó una campaña de ciberataques que comprometió varias extensiones legítimas de Chrome, introduciendo código malicioso diseñado para robar cookies del navegador y sesiones de autenticación.

Detalles del ataque:

• Objetivo principal: Cuentas de Facebook Ads y plataformas de inteligencia artificial.

• Método de infección: Los atacantes enviaron correos electrónicos de phishing a desarrolladores de extensiones, logrando acceso a sus cuentas y publicando actualizaciones maliciosas de las extensiones comprometidas.

• Extensiones afectadas: Además de Cyberhaven, se identificaron otras extensiones comprometidas, incluyendo Internxt VPN, VPNCity, Uvoice y ParrotTalks.

Respuesta de las empresas afectadas:

• Cyberhaven: La empresa confirmó que su extensión de prevención de pérdida de datos fue comprometida el 24 de diciembre. La versión maliciosa (24.10.4) estuvo activa durante aproximadamente 25 horas antes de ser eliminada. Se lanzó una actualización limpia (versión 24.10.5) y se recomendó a las empresas afectadas revisar sus registros y actualizar contraseñas.

Recomendaciones para los usuarios:

• Actualizar extensiones: Asegurarse de que todas las extensiones de Chrome estén actualizadas a sus versiones más recientes y legítimas.

• Revisar actividad sospechosa: Monitorear cuentas de redes sociales y otras plataformas en busca de accesos no autorizados o actividades inusuales.

• Cambiar contraseñas: Actualizar las contraseñas de las cuentas afectadas y considerar habilitar autenticación multifactor para mayor seguridad.

Este incidente resalta la importancia de la seguridad en la cadena de suministro de software y la necesidad de que tanto desarrolladores como usuarios permanezcan vigilantes ante posibles compromisos en las herramientas digitales que utilizan diariamente.