Le Chrome Web Store a été l'hôte d'une version compromise de l'extension du service cloud d'hébergement et partage de fichiers MEGA (mega.nz). Un attaquant est ainsi parvenu à prendre le contrôle du compte de MEGA pour le Chrome Web Store afin d'y placer une version 3.39.4 malveillante.
Selon MEGA, l'incident a eu lieu le 4 septembre à 16h30. Quatre heures plus tard, l'extension compromise a été mise à jour avec une version 3.39.5 saine (mise à jour automatique pour les installations concernées). Google a supprimé l'extension malveillante cinq heures après la découverte de l'incident de sécurité.
Les utilisateurs potentiellement affectés sont uniquement ceux de Google Chrome ayant installé l'extension compromise (avec demande de privilèges plus élevés) dans ce laps de temps. Le risque… l'exfiltration d'identifiants de connexion pour des sites parmi lesquels amazon.com, live.com, github.com, google.com (pour le Web Store). Également, le vol de clés privées pour des portefeuilles de cryptomonnaies à l'instar de MyEtherWallet et MyMonero.
Le code malveillant avait pour mission d'envoyer des données volées vers un serveur hébergé en Ukraine. MEGA présente ses excuses mais n'entre pas véritablement dans les détails pour le moment et fait peser une partie de la responsabilité sur Google.
" Malheureusement, Google a décidé de refuser les signatures des éditeurs sur les extensions Chrome et s'appuie désormais uniquement sur leur signature automatique après la mise en ligne sur le Chrome Web Store, ce qui supprime une barrière importante aux compromissions externes. "
À noter que l'extension pour Firefox est directement hébergée (et signée) par MEGA.
