A extensão oficial do Chrome para o serviço de partilha de ficheiros na Cloud MEGA.nz foi comprometida com código malicioso que rouba nomes de utilizadores e passwords, mas também chaves privadas para contas de criptomoedas.
O comportamento malicioso foi encontrado no código-fonte da extensão MEGA.nz versão 3.39.4 do Chrome, lançado como atualização no dia 4 de setembro.
Os engenheiros do Google já removeram a extensão da store do Chrome e também desativaram a extensão para utilizadores que estavam a usá-la.
De acordo com uma análise efetuada ao código fonte da extensão, o código malicioso foi executado em websites como Amazon, Google, Microsoft, GitHub, os serviços de carteira da Web MyEtherWallet e MyMonero, e a plataforma de negociação de criptomoedas IDEX.
How to fix
- Os utilizador do Google Chrome que usaram a extensão devem observar se na seção “Extensões” do navegador Google Chrome a extensão foi desativada.
- Todos os utilizadores devem tambem redefinir passwords nos serviços afetados e mover fundos de criptomoeda para novas contas protegidas por novas chaves particulares.
Os porta-vozes do Google e do MEGA.nz não responderam aos pedidos de comentários antes da publicação deste artigo.
No entanto, depois da publicação do artigo original no ZDNET, o MEGA.nz também demonstrou a sua insatisfação com as medidas de segurança da Chrome Web Store do Google.
“Unfortunately, Google decided to disallow publisher signatures on Chrome extensions and is now relying solely on signing them automatically after upload to the Chrome webstore, which removes an important barrier to external compromise. MEGAsync and our Firefox extension are signed and hosted by us and could therefore not have fallen victim to this attack vector. While our mobile apps are hosted by Apple/Google/Microsoft, they are cryptographically signed by us and therefore immune as well.”
“We are currently investigating the exact nature of the compromise of our Chrome webstore account.”