Logindaten und ChatGPT-Keys im Visier: Details zu Attacke auf Chrome-Extensions

Eine Supply-Chain-Attacke im Chrome Web Store hat im Dezember um die dreißig Browser-Erweiterungen getroffen und die persönlichen Daten von 2,6 Millionen Nutzerinnen und Nutzern gefährdet. Die Sicherheitsfirma Sekoia hat nun weitere Details, insbesondere über die hinter dem Angriff liegende Infrastruktur, veröffentlicht.

Bereits Anfang Januar hat das Security-Unternehmen Annex eine erste Analyse des Angriffs und eine Liste der betroffenen Extension veröffentlicht. Der Angriff beginnt mit gezielten Phishing-Mails an Extension-Entwickler. Die Mails kommen vermeintlich von Googles Web-Store-Team, und die Angreifer drohen damit, dass die Extension aus dem Store entfernt wird, wenn die Entwickler nicht die Program Policy akzeptieren. Ein Button führt zu einer bösartigen Anwendung, die sich über OAuth in das Google-Konto der Opfer einloggt. Sobald die Täter Zugriff auf den Quellcode der Extension haben, fügen sie schädliche Abschnitte hinzu, die darauf abzielen, persönliche Browser-Daten der Opfer abzugreifen: Social-Media-Logins (Facebook), API-Schlüssel (ChatGPT), Session-Cookies und weiteres.

Sobald eine Anwenderin oder ein Anwender die betreffende Extension startet, führt diese standardmäßig ein Update durch, das den bösartigen Code enthält.

Sekoia hat insgesamt ein Dutzend verseuchter Beispiele untersucht, die vom 12. Dezember 2024 (VPNCity) bis zum 30. Dezember 2024 (Proxy SwtichyOmega V3) online waren. Die Liste von Annex geht sogar bis Juli 2024 (HiAI) zurück, die Analysten vermuten jedoch eine Aktivität der Kampagne sogar seit 2023. Die Täter scheinen diese Ende Dezember gestoppt zu haben, auffallend war insbesondere der Aufwand und die Breite der gezielten Angriffe. Es gab sogar extra Werbeseiten für die gekaperten Extensions, um möglichst viele Nutzerinnen und Nutzer anzugehen.

Angriff auf die Entwicklerinnen und Entwickler

Die gezielt verschickten Phishing-Mails (Spear Phishing) beinhalten im Betreff jeweils die konkreten Namen der Erweiterungen. Die Absenderadressen klingen offiziell: chromewebstore-noreply@chromeforextension.com und chromewebstore-noreply@supportchromestore.com. Der "Go to Policy"-Button führt zu einer Redirect-Seite unter https://app.checkpolicy.site/extension-privacy-policy?e=opfer@example.com oder https://app.checkpolicy.site/accept-terms-policy?e=opfer@example.com.

Auf einer echten Google-Seite sollen die Opfer dann der "Privacy Policy Extension" OAuth-Zugriff auf den Google-Account geben, insbesondere die Berechtigung "see, edit, update, or publish" für die Extension einräumen. Ab dann können die Angreifer frei im Store agieren und Code ändern.

Die Täter passen dort das Skript backgroud.js an und fügen ein weiteres hinzu: context_responder.js. Das Background-Skript dient allgemein in Chrome-Erweiterungen als zentraler Event-Handler für die gesamte Extension. Im bösartig geänderten Kontext implementiert es Handler für den Kontakt zum Command-and-Control-Server (C2) und zu den Servern, bei denen Zugangsdaten abgegriffen werden sollen, wie ChatGPT. Hierfür sieht die entsprechende JSON-Konfiguration wie folgt aus:

{
    "code": 2000,
    "graphqlnetworka": "https://chatgpt.com/api/*",
    "graphqlnetworkb": "https://chatgpt.com/public-api/conversation_limit",
    "graphqlnetworkc": "http://chatgpt.com",
    "graphqlnetworkd": "sk-<OpenAI API Key>",
    "graphqlnetworke": "backend-api/me",
    "graphqlnetworkf": "https://chatgpt.com",
    "graphqlnetworkg": "https://chatgpt.com/backend-api/compliance",
    "graphqlnetworkh": "https://chatgpt.com/api/auth/session",
    "graphqlnetworki": "auth",
    "graphqlnetworkk": "https://chatgpt.com"
}

Die Analysten gehen davon aus, dass diese Konfiguration dazu dient, den OpenAI-Schlüssel und die Login-Daten zu stehlen.

Das Context-Responder-Skript prüft bei allen aufgerufenen URLs, ob sie in einer Konfigurationsdatei (graphqlnetwork_ext_manage) im lokalen Speicher von Chrome aufgeführt sind. Ist das der Fall, interagiert es mit dem Background-Skript, um Daten zu extrahieren. Über den Handler für das C2-Netz können die Skripte vermutlich weitere Konfigurationen der Angreifer nachladen.

Analyse der C2-Infrastruktur

Für jede angegriffene Erweiterung registrieren die Angreifer eine Domain, für GraphQL Network Inspector beispielsweise graphqlnetwork.pro. Die Domains haben folgende Eigenschaften:

• Registrar: Namecheap
• Top-level domains: co, com, info, ink, io, live, net, pro, site
• Hosting provider: AS 20473 (Vultr)
• JARM fingerprint: 1dd40d40d00040d00042d43d000000e1ea2a807a629b496b664cf07ad7c08d
• DNS A-Record: TTL: 1799

Alle Domains zeigen auf die IP-Adressen 149.28.124.84 oder 45.76.225.148. Der Redirect aus der Phishing-Mail geht über app.checkpolicy.site (136.244.115.219). Als weitere aktive Dienste auf den Servern stellten die Analysten fest:

• SSH an Port 22
• HTTP an Port 80 mit der Standard-404-Antwort von Nginx
• HTTPS an Port 443 mit JARM-Fingerprint 1dd40d40d00040d00042d43d000000e1ea2a807a629b496b664cf07ad7c08d
• REDIS an Port 6379

Sekoia identifizierte dreißig Domains, die diesen Kriterien entsprachen. Die gestohlenen Daten senden die Extensions jeweils an eine Subdomäne app. (zum Beispiel app.graphqlnetwork.pro) unter 149.248.2.160. Hier lauscht noch ein MySQL-Dienst an Port 3306, vermutlich um die gestohlenen Daten in einer Datenbank systematisch zu sammeln.

Betroffene Extensions finden

Chrome-Anwenderinnen und Anwendern wird empfohlen, ein Update aller Extensions durchzuführen. Alle bekannt gewordenen Erweiterungen, die von der Kampagne betroffen sind, finden sich in den Listen von Annex und Sekoia. Wer sicherheitshalber unbekannte beschädigte Erweiterungen aufspüren möchte, finden sie durch die Suche nach der Konfigurationsdatei im lokalen Speicher des Browsers nach *_ext_manage oder durch Prüfen, ob Kommunikation mit den C2-Servern versucht wird (149.28.124.84 und 45.76.225.148).

Betroffene sollten zügig Cookies löschen und Passwörter sowie Keys ändern.

(who)