Image by Freepik
사이버 공격, 합법적인 크롬 확장 프로그램을 타격해 민감한 사용자 데이터 노출
읽는 시간: 3 분
게시일: 1월 2, 2025
-
![Kiara Fabbri]()
-
![현지화 및 번역 팀]()
번역가 현지화 및 번역 팀 현지화 및 번역 서비스
조정된 사이버 공격으로 최소한 다섯 개의 Google Chrome 확장 프로그램이 침해되었으며, 이로 인해 사용자의 민감한 정보를 도용하기 위해 설계된 악성 코드가 주입되었다고 Bleeping Computer가 보도했습니다.
서두르시나요? 여기 빠른 사실들이 있습니다!
- 사이버헤이븐은 자신들의 계정을 대상으로 한 피싱 공격 이후 12월 24일에 침해 사실을 공개했습니다.
- 사이버헤이븐의 확장 프로그램에 포함된 악성 코드가 세션과 쿠키를 도용하여 공격자에게 데이터를 전송했습니다.
- Snowflake, 모토로라, Reddit 같은 대형 회사들이 이번 침해로 인해 영향을 받았습니다.
이 사건은 처음으로 12월 24일에 데이터 손실 방지 회사인 Cyberhaven이 공개하였습니다. 이 회사는 Chrome 웹 스토어의 관리자 계정을 성공적으로 대상으로 삼은 피싱 공격 후 고객들에게 경고하였습니다.
우리 팀은 크리스마스 이브에 발생한 악성 사이버 공격을 확인했습니다. 이 공격은 Cyberhaven의 크롬 확장 프로그램에 영향을 미쳤습니다. 다음은 이 사건에 대한 포스트와 우리가 취하고 있는 조치들에 대한 내용입니다: https://t.co/VTBC73eWda
우리의 보안팀은 24/7로 영향을 받은 고객들을 도울 준비가 되어 있습니다…
— Cyberhaven (@CyberhavenInc) 2024년 12월 27일
Bleeping Computer는 이 공격이 해커에게 관리자 계정을 탈취하고 Cyberhaven 확장 프로그램의 악성 버전을 게시할 수 있게 했다고 설명합니다. 이 버전에는 인증된 세션과 쿠키를 탈취하여 공격자의 도메인으로 보낼 수 있는 코드가 포함되어 있었습니다.
해킹 사고로 영향을 받은 Cyberhaven의 고객 중에는 Snowflake, Motorola, Canon, Reddit, Kirkland & Ellis 같은 주요 기업들이 포함되어 있습니다. Bleeping Computer에 보도된 바와 같이 Cyberhaven의 내부 보안 팀은 감지한 지 1시간 이내에 악성 확장 프로그램을 제거하였습니다.
Cyberhaven은 이번 공격을 피싱 이메일로 규정하였으며, 별도의 기술 분석에서는 이 코드가 특히 Facebook Ads 계정을 대상으로 설계된 것으로 보인다고 밝혔습니다.
TechCrunch에 따르면 Chrome 웹 스토어에는 Cyberhaven 확장 프로그램에 대해 약 40만 개의 기업 사용자가 등록되어 있다고 합니다. TechCrunch가 문의했을 때, Cyberhaven은 이번 해킹에 대해 알린 고객 수에 대해서는 공개를 거부했습니다.
이에 대한 대응으로, 12월 26일에는 깨끗한 버전의 확장 프로그램이 게시되었습니다. Cyberhaven은 사용자들에게 이 최신 버전으로 업그레이드하고, 확장 프로그램이 24.10.5 버전 이상으로 업데이트되었는지 확인하는 등 추가적인 예방 조치를 취할 것을 권고했습니다.
게다가, Cyberhaven은 FIDOv2를 사용하지 않는 패스워드를 취소하고 변경하고, 의심스러운 활동이 없는지 브라우저 로그를 검토하라고 권장합니다.
Bleeping Computer는 이 사건이 Cyberhaven의 확장 프로그램을 넘어서 더욱 확장되었다고 지적하였습니다. 추가 조사에서는 여러 Chrome 확장 프로그램들도 이에 영향을 받았음이 밝혀졌습니다. Nudge Security의 연구원인 Jaime Blasco는 공격자의 IP 주소와 도메인을 분석함으로써 공격의 기원을 추적하였습니다.
Cyberhaven 크롬 확장 프로그램의 탈취에 대해, 다른 확장 프로그램들도 영향을 받았다고 생각하는 이유가 있습니다. IP 주소를 중심으로 다른 도메인들이 cyberhavenext[.]pro와 동일한 IP 주소를 가리키며 동일한 시간대에 생성된 것으로 확인되었습니다 (계속)
— Jaime Blasco (@jaimeblascob) 2024년 12월 27일
블라스코는 악성 코드 조각이 동시에 여러 확장 프로그램에 삽입되었다고 확인했는데, 이는 Bleeping Computer에서 보도한 바와 같습니다.
이에는 10,000명의 사용자를 보유한 Internxt VPN, 50,000명의 사용자를 보유한 프라이버시 중심의 VPN 서비스인 VPNCity, 40,000명의 사용자를 가진 보상 기반 서비스인 Uvoice, 그리고 40,000명의 사용자를 가진 노트 작성 도구인 ParrotTalks가 포함됩니다.
Bleeping Computer는 Blasco가 추가적인 잠재적 피해자를 식별했지만, 위에 나열된 확장 프로그램만이 악성 코드를 포함하고 있다는 것이 확인되었다고 보도했습니다. 이러한 영향을 받은 확장 프로그램의 사용자들은 해당 확장 프로그램을 제거하거나, 12월 26일 이후에 출시된 안전한 버전으로 업데이트하도록 권장되고 있습니다.
자신의 확장 프로그램의 안전성에 대해 확신이 없는 사람들에게는, 영향을 받은 확장 프로그램을 제거하고, 중요한 비밀번호를 재설정하며, 브라우저 데이터를 지우고, 브라우저 설정을 기본값으로 복원하는 것이 권장됩니다.
이전 이야기
최신 기사 
댓글 달기
취소