구글 크롬 확장 프로그램, 대규모 공격에 노출! 개발자 주의 요망

최근 구글 크롬(Google Chrome) 확장 프로그램 개발자를 노린 정교한 공급망 공격이 발견되어 사용자들의 주의가 필요해요.

공격 개요

이번 공격은 악성 해커들이 구글 크롬 웹 스토어(Google Chrome Web Store) 지원팀을 사칭하여 개발자들에게 이메일을 보내는 방식으로 시작되었어요. 이들은 스토어 정책 위반을 경고하며, 개인 정보 처리 방침을 업데이트하지 않으면 확장 프로그램을 스토어에서 삭제하겠다고 협박했죠.

이메일에 포함된 링크는 악성 애플리케이션을 위한 합법적인 구글 OAuth 인증 페이지로 연결되었어요. 사용자가 로그인하면 공격자에게 로그인 정보를 넘겨주게 되고, 공격자는 이를 이용해 확장 프로그램을 변조하는 방식으로 공격이 진행되었답니다.

피해 규모 및 목표

사이버 보안 연구원인 세코이아(Sekoia)에 따르면, 이번 공격으로 인해 수백만 명의 브라우저 사용자들이 데이터 유출, 신원 도용, 금융 사기 등의 위험에 노출될 수 있다고 해요.

공격자들은 주로 페이스북 비즈니스(Facebook Business) 계정, API 키, 세션 쿠키, 액세스 토큰, 계정 정보, 광고 계정 세부 정보 등을 노렸어요. 일부 사례에서는 챗GPT(ChatGPT) API 키와 사용자 인증 데이터도 표적이 되었고요.

이번 공격 캠페인은 최소 2024년 3월부터 시작된 것으로 추정되지만, 더 일찍부터 활동했을 가능성도 있다고 하네요.

주요 공격 대상 확장 프로그램

이번 공격의 주요 대상이 된 확장 프로그램으로는 GraphQL Network Inspector, Proxy SwitchyOmega (V3), YesCaptcha assistant, Castorus, VidHelper – Video Download Helper 등이 있어요.

사용자 대응 방안

피해를 예방하기 위해 사용자들은 영향을 받은 확장 프로그램을 삭제하거나, 2024년 12월 26일 이후에 출시된 버전으로 업데이트하는 것이 좋아요. 특히 페이스북과 챗GPT 계정의 비밀번호를 재설정하는 것이 중요하다고 하네요.