Un groupe d'extensions malveillantes pour Google Chrome, se posant comme des outils de productivité et de sécurité ciblés sur les plateformes de ressources humaines et ERP d'affaires, a été détecté par l'extraction des identifiants d'accès et des pages de gestion de sabotage conçus pour répondre aux incidents. La recherche a été publiée par la société de cybersécurité Socket, qui ont identifié cinq suppléments pour des services tels que Workday, NetSuite et SAP SuccessFactors; ensemble, ils ont constitué plus de 2 300 installations.
Ils étaient apparemment des utilitaires conçus pour faciliter la gestion et accélérer les flux de travail dans les environnements d'entreprise : des tableaux pour gérer plusieurs comptes, des contrôles de sécurité supposés ou un accès « premium » aux fonctions. Cependant, sous cette façade, ils partageaient un modèle de backend et de code très similaire, suggérant une opération coordonnée malgré leur publication avec différents noms et marques.
La campagne a utilisé trois tactiques principales: la suppression et l'envoi de cookies d'authentification pour contrôler et contrôler les serveurs, la gestion des DOM pour supprimer ou rediriger les pages administratives clés, et l'injection bidirectionnelle de cookies qui permet des sessions actives. Socket document que plusieurs des extensions étaient programmées pour capturer régulièrement un cookie de session appelé "_ session" associé aux domaines cibles - ces cookies contiennent des jetons d'accès actifs - et ils ont été transmis à l'attaquant chaque minute, ce qui a permis de maintenir le contrôle même si l'utilisateur a fermé et rouvert.
En plus de voler des jetons, deux des suppléments détectés ont agi comme un blocage délibéré des fonctions de réponse: en détectant le titre des pages, ils ont supprimé le contenu ou redirigé les administrateurs en dehors des écrans dédiés à la sécurité et à la gestion de session. Selon les constatations, l'un des suppléments a interféré avec des dizaines de pages administratives (y compris les politiques d'authentification et de contrôle de la gamme IP) et un autre a élargi cette liste en ajoutant des contrôles de mot de passe, la désactivation des comptes, les appareils 2FA et les dossiers d'audit. Interruption de l'accès à ces pages peut empêcher les équipes de sécurité d'agir contre l'intrusion avec de graves conséquences dans les milieux d'affaires.
L'extension avec un comportement plus dangereux, publiée sous une marque différente, a également incorporé la possibilité d'injecter les cookies reçus du serveur de l'agresseur directement dans le navigateur d'une victime. Avec cette technique, un attaquant peut restaurer une session authentifiée sans connaître le mot de passe ou dessiner explicitement un facteur d'authentification supplémentaire, qui ouvre la porte à la prise immédiate de comptes critiques.
Bien que le nombre d'installations détectées - un peu plus de 2 300 - ne soit pas massif par rapport aux autres campagnes, l'impact potentiel est disproportionné: les identifiants valides pour les plateformes d'affaires sont un atout très précieux qui peut alimenter le vol de données à grande échelle, l'extorsion et les déploiements de ransomware. Pire encore, la déclaration de confidentialité et les dossiers d'extension n'ont pas mis en garde contre la collecte de jetons ou la modification des pages administratives, de sorte que les victimes n'auraient pas pu prévoir ou consentir à de tels comportements.
Socket notifié Google sur les extensions et, au moment de la publication du rapport, les entrées affectées semblent avoir été supprimées du Chrome Web Store. Cependant, la détection et le retrait n'inversent pas nécessairement le risque pour ceux qui ont déjà installé l'un de ces suppléments : il est essentiel que les équipes de sécurité d'entreprise enquêtent sur un éventuel accès non autorisé et agissent en conséquence.
Si vous pensez avoir utilisé une de ces extensions, il est raisonnable d'informer immédiatement votre équipe de sécurité, désinstaller le complément et passer à invalider les sessions et les références sur les plateformes touchées. Google propose des instructions pour gérer et supprimer les extensions dans son centre d'aide ( Comment supprimer les extensions dans Chrome) et les gestionnaires informatiques devraient envisager la révocation des jetons, la modification des mots de passe, la révision du journal d'accès et la rotation des clés ou certificats pertinents.
Pour les organisations et les administrateurs, cet incident est un rappel que les extensions de navigateur sont une zone d'attaque qui nécessite des contrôles d'entreprise: utiliser les politiques, listes blanches de suppléments, examens périodiques et surveillance des comportements anormaux. Recommandations des organismes et centres nationaux de sécurité, tels que Royaume Uni CNSC, offrir des lignes directrices pratiques pour réduire le risque associé aux extensions malveillantes.
Il est également approprié pour les entreprises de revoir leurs processus de réponse: bloquer l'accès des gestionnaires aux outils de gestion est une technique délibérée pour entraver le confinement, de sorte que la séparation des fonctions, le contrôle strict des privilèges et la capacité d'agir des environnements de gestion isolés deviennent des mesures clés. Pour les utilisateurs et les responsables de la sécurité qui doivent examiner les politiques de publication et le comportement acceptable dans le marché de l'extension, la documentation officielle du programme Chrome Web Store est un point de départ utile ( Chrome Web Politiques de stockage).
La leçon principale est simple : ce n'est pas tout ce qui ressemble à un « outil de gestion ». Maintenir une position critique contre les extensions qui demandent de larges permis et vérifier des sources fiables avant d'installer sont des habitudes qui peuvent maintenant empêcher une installation simple de devenir un écart qui compromet les données organisationnelles critiques. Pour approfondir les détails techniques et voir les preuves recueillies par les chercheurs, vous pouvez lire le rapport complet de Socket sur son blog ( Rapport sur les chaussettes).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...