Peretas dilaporkan dapat memodifikasi beberapa ekstensi Chrome dengan kode berbahaya bulan ini setelah mendapatkan akses ke akun admin melalui kampanye phishing. Perusahaan keamanan siber Cyberhaven menyampaikan pada akhir pekan ini bahwa ekstensi Chrome-nya telah disusupi pada tanggal 24 Desember dalam sebuah serangan yang tampaknya “menargetkan login ke iklan media sosial dan platform AI tertentu.” Beberapa ekstensi lainnya juga terkena dampaknya, sejak pertengahan Desember, dilaporkan. Menurut Nudge Security's, itu mencakup ParrotTalks, Uvoice, dan VPNCity.
Cyberhaven memberi tahu pelanggannya pada tanggal 26 Desember melalui email yang dilihat oleh yang menyarankan mereka untuk mencabut dan merotasi kata sandi dan kredensial lainnya. Investigasi awal perusahaan atas insiden tersebut menemukan bahwa ekstensi berbahaya tersebut menargetkan pengguna Iklan Facebook, dengan tujuan mencuri data seperti token akses, ID pengguna, dan informasi akun lainnya, serta cookie. Kode ini juga menambahkan pendengar klik mouse. “Setelah berhasil mengirimkan semua data ke [Command & Control] server, ID pengguna Facebook disimpan ke penyimpanan browser,” kata Cyberhaven dalam analisisnya. “ID pengguna tersebut kemudian digunakan dalam peristiwa klik mouse untuk membantu penyerang dengan 2FA di pihak mereka jika diperlukan.”
Cyberhaven mengatakan pihaknya pertama kali mendeteksi pelanggaran tersebut pada 25 Desember dan mampu menghapus versi berbahaya dari ekstensi tersebut dalam waktu satu jam. Sejak itu dikeluarkan versi yang bersih.