Hoy en día, el propietario de la popular barra de herramientas Web Developer notó que había sido secuestrado y reemplazado con una versión maliciosa. lo deshabilitó, pero la versión maliciosa ( diff ) había estado en libertad por lo menos durante una hora.
Básicamente reemplazaron los anuncios y reunieron las credenciales de Cloudflare.
Proof Point tiene un artículo con un análisis exhaustivo de lo que sucedió.
Desde la cuenta de Twitter que has vinculado, el autor dice :
No lo sé con seguridad todavía, pero parece que pudo haber sido inyectado un adware. Todavía estoy investigando el posible impacto.
También ha pedido lo que debe cerrar sesión, revocar claves y cambiar contraseñas. Si bien no tengo acceso al código malicioso y no puedo saber lo que hizo el código, me siento bastante seguro de sugerirle que finalice todas las sesiones (para evitar los secuestros de sesión) y que cambie sus contraseñas.
Yo diría que es mucho más fácil cambiar las contraseñas que tener que lidiar más tarde con las cuentas pirateadas.
Una extensión como Web Developer tiene acceso a casi todo lo que sucede en el navegador. Puede leer todo el contenido del sitio, puede interceptar el tráfico, detectar pulsaciones de teclas o lo que sea que pueda imaginar. Aquí hay una buena reseña .
Lo que realmente hizo necesitará más análisis. El propietario debe poder dar algunos detalles, pero es realmente difícil evaluar completamente el alcance de esto. Aquí se explica por qué: la extensión tenía la capacidad de inyectar anuncios y, según un tweet, también inyectó contenido de JS que cambió con el tiempo.
¿Qué debo hacer para mantener a raya los otros efectos nocivos?
Bueno, esto es difícil de responder. Dado el posible alcance, la apuesta más segura es cambiar cualquier contraseña, las claves API que usó cuando la extensión rogue estaba activa. Iniciar y cerrar sesión también es una buena idea, ya que su sesión también podría haber sido comprometida. Básicamente, cualquier cosa que apareciera en su navegador mientras la extensión estaba activa podría haber sido retransmitida en otro lugar.
Sin analizar la versión maliciosa de la extensión, es imposible decir lo que hizo. Sin embargo, como extensión, no tendría la mayoría de las limitaciones que se aplican a los scripts en las páginas web: por ejemplo, la misma política de origen no se aplicaría, lo que significa que cualquier información que haya ingresado en cualquier página mientras la extensión estaba activo en su sistema podría haber sido capturado y enviado al atacante.
Chrome proporciona un montón de otras API a las extensiones que permiten el acceso a otros datos dentro del navegador: enlace Estos incluyen acceso a cookies (tanto para sitios visitados mientras la extensión está activa como para aquellos almacenados para otros sitios), acceso a los controles de privacidad para el navegador, acceso a la configuración de DNS para el navegador y acceso a los datos de geolocalización, sin necesidad de un simbolo. No estoy seguro de cuál de estos usó la extensión para desarrolladores web, pero dado el uso para el que está destinado, es probable que al menos pueda acceder a los datos de las cookies.
Dado eso, cualquier sitio en el que tenga una sesión activa, incluso si no los visitó mientras la extensión maliciosa estaba activa, podría haberse visto comprometido. Cualquier contraseña que ingresó mientras la extensión estaba activa podría haber sido comprometida. Cualquier información que ingresó en otros campos (ventanas de chat, cuadros de búsqueda, carga de archivos) podría haber sido comprometida. Cualquier información mostrada a usted por un sitio web podría haber sido comprometida. ¡Y eso es solo por el conjunto mínimo de permisos que la extensión debería funcionar!
Si se otorgaron más permisos (ya sea que la extensión legítima los requiera, o si la versión maliciosa los solicitó y recibió), las posibilidades empeoran. Podría desactivar el modo de navegación segura, por lo que no recibirá advertencias en sitios web maliciosos que Google haya detectado, por ejemplo.
Todo depende de qué permisos tenía la extensión ...
Lea otras preguntas en las etiquetas chrome browser-extensions