In een e-mail aan klanten meldt het cybersecuritybedrijf dat op 24 december er een ‘gerichte geavanceerde aanval’ op een Cyberhaven-medewerker plaatsvond. Via deze aanval werden inloggegevens verkregen om een malafide update voor de Chrome-extensie uit te brengen. In de e-mail aan klanten geeft Cyberhaven geen details over de aanval of wat die geavanceerd maakte. Wel meldt het bedrijf dat de malware in de Chrome-extensie cookies en sessiedata steelt. Volgens cijfers van de Chrome Web Store telde de extensie, die inmiddels is verwijderd, 400.000 gebruikers.
Cyberhaven heeft inmiddels meer details over de aanval zelf gegeven. Een medewerker ontving een phishingmail waarin werd gesteld dat de Chrome-extensie verwijderd zou worden. De link in de e-mail vroeg uiteindelijk om een malafide third-party OAUTH-applicatie toegang tot het Google-account van de medewerker te geven, wat de medewerker deed. Via deze malafide extensie kreeg de aanvaller permissies om een malafide update voor de Chrome-extensie van Cyberhaven uit te brengen.
Volgens Cyberhaven was toegang tot Facebook Ads-accounts het primaire motief van de aanval. In de analyse weerspreekt het cybersecuritybedrijf de eerdere e-mail aan klanten en verklaart dat het om een niet-gerichte aanval ging, onderdeel van een grotere phishingcampagne gericht tegen Facebook Ads-gebruikers. De malafide extensie is inmiddels uit de Chrome Web Store verwijderd. Tevens zijn gedupeerde klanten aangeraden hun wachtwoorden te wijzigen. Daarnaast zegt Cyberhaven de eigen ‘security practices’ te zullen herzien en aanvullende waarborgen te nemen. Eerder dit jaar ontving Cyberhaven nog een investering van 88 miljoen dollar.