Издание ZDNet предупредило о компрометации официального расширения MEGA.nz для Chrome. 4 сентября 2018 года расширение обновилось до версии 3.39.4, после чего начало похищать учетные данные от аккаунтов Amazon, Google, Microsoft, GitHub, а также данные криптовалютных кошельков MyEtherWallet, MyMonero и платформы IDEX.
Появившийся в расширении вредоносный код похищал имена пользователей, пароли и другие данные сессий, необходимые атакующим для входа в чужую учетную запись, а также приватные ключи, если речь шла об операциях с криптовалютой. Собранные данные передавались на украинский сервер, расположенный на megaopac[.]host.
Первым проблему заметил итальянский разработчик Monero Project, известный в сети под псевдонимом SerHack. В настоящее время инженеры Google уже исключили расширение из каталога Chrome Web Store, а также отключили его для действующих пользователей.
Каким именно образом произошла компрометация, пока неясно, но сообщается, что проблема не коснулась дополнения MEGA.nz для Firefox. Можно предположить, что злоумышленники сумели скомпрометировать кого-то из разработчиков расширения, а затем воспользовались их доступом. Во всяком случае, именно такая схема использовалась ранее для взлома и компрометации Hola VPN, а также почти десятка популярных расширений в прошлом году.
UPD
Представители MEGA.nz опубликовали официальное заявление в блоге компании. Разработчики подтвердили, что 4 сентября 2018 года, в 14:30 UTC, расширение для Chrome было скомпрометировано неизвестным атакующим. После обновления до версии 3.39.4 расширение запрашивало у пользователя дополнительные привилегии.
Сообщается, что через четыре часа после атаки разработчики обновили расширение до безопасной версии 3.39.5, однако инженеры Google все равно исключили его из Chrome Web Store через пять часов после начала атаки.
Представители компании извиняются за произошедшее и призывают пользователей проверить версии своих расширений. Считать учетные данные скомпрометированными можно в том случае, если в указанный период времени пользователь включал расширение 3.39.4 и посещал сайты amazon.com, live.com, github.com, google.com, myetherwallet.com, mymonero.com, idex.market. Также в опасности оказались любые учетные данные, передаваемые другими расширениями через POST-запросы, формы или через фоновый процесс XMLHttpRequest.