요약 (Summary)

• Chrome 웹 스토어에서 productivity 및 security 도구로 판매되는 Chrome 확장 프로그램이 발견되었다.
• 이 확장 프로그램은 Workday, NetSuite, SAP SuccessFactors와 같은 기업 HR 및 ERP 플랫폼의 인증 정보를 훔치거나 보안 인ци던트에 대한 관리 페이지를 차단하는 공격을 수행한다.
• Socket이 발견한 5개의 Chrome 확장 프로그램은 collectively 2,300번 이상 설치되었다.
• 이 확장 프로그램은 동일한 기업 플랫폼을 표적으로 하고 동일한 보안 도구 감지 목록, API 엔드포인트 패턴, 코드 구조를 공유한다.
• 이 확장 프로그램은 개발자 이름이 다르지만 동일한 인프라, 코드 패턴, 표적을 공유한다.

위험도 (Risk Level)

• Low / Medium / High : High

대응/시사점 (Response/Implications)

• 이 확장 프로그램을 사용한 사용자는 보안 관리자에게 보고하고 대상 플랫폼의 비밀번호를 변경해야 한다.

전체 번역 (Full Translation)

Credential-stealing Chrome 확장 프로그램이 기업 HR 플랫폼을 표적으로 한다

악성 Chrome 확장 프로그램이 Chrome 웹 스토어에서 productivity 및 security 도구로 판매되는 것으로 발견되었다. 이 확장 프로그램은 Workday, NetSuite, SAP SuccessFactors와 같은 기업 HR 및 ERP 플랫폼의 인증 정보를 훔치거나 보안 인시던트에 대한 관리 페이지를 차단하는 공격을 수행한다.

Socket이 발견한 5개의 Chrome 확장 프로그램은 collectively 2,300번 이상 설치되었다. 이 확장 프로그램은 동일한 기업 플랫폼을 표적으로 하고 동일한 보안 도구 감지 목록, API 엔드포인트 패턴, 코드 구조를 공유한다. 이 확장 프로그램은 개발자 이름이 다르지만 동일한 인프라, 코드 패턴, 표적을 공유한다.

Socket은 이 확장 프로그램이 3가지 공격 유형을 수행한다고 밝혔다.

• 쿠키 추출: 악성 확장 프로그램은 인증 쿠키를 추출하여 원격 서버에 전송한다.
• DOM 조작: 악성 확장 프로그램은 보안 관리 페이지를 차단하여 관리자가 보안 인시던트에 대한 응답을 할 수 없게 한다.
• 쿠키 주입: 악성 확장 프로그램은 인증 쿠키를 주입하여 공격자가 인증된 세션을 탈취할 수 있다.

Socket은 이 확장 프로그램이 Workday, NetSuite, SuccessFactors와 같은 기업 플랫폼의 인증 정보를 훔치거나 보안 인시던트에 대한 관리 페이지를 차단하는 공격을 수행한다고 밝혔다. 이 확장 프로그램은 개발자 이름이 다르지만 동일한 인프라, 코드 패턴, 표적을 공유한다.

Socket은 이 확장 프로그램을 Google에 보고했으며 현재 이 기사 작성 시점에 이 확장 프로그램은 삭제되었다고 밝혔다. 이 확장 프로그램을 사용한 사용자는 보안 관리자에게 보고하고 대상 플랫폼의 비밀번호를 변경해야 한다.