De populaire cloudopslagdienst MEGA heeft gebruikers gewaarschuwd voor een besmette versie van de eigen Chrome-extensie die via het officiële downloadkanaal werd verspreid en allerlei gegevens van gebruikers probeerde te stelen. Volgens MEGA, de cloudopslagdienst van internetondernemer Kim Dotcom, heeft een aanvaller toegang gekregen tot het officiële Chrome Web Store-account van het bedrijf.

Vervolgens werd er een besmette versie van de MEGA Chrome-extensie in de Web Store geplaatst en automatisch aan al bestaande gebruikers aangeboden. Deze versie vroeg permissie om data op alle websites te lezen. Zodra gebruikers deze permissie verleenden probeerde de extensie privésleutels voor cryptocurrency wallets en gebruikersnamen en wachtwoorden voor Amazon-, GitHub-, Google- en Microsoft-accounts te stelen.

Na vijf uur werd de besmette Chrome-extensie door Google uit de Chrome Web Store verwijderd. MEGA stelt dat het een onderzoek heeft ingesteld om te achterhalen hoe het Web Store-account kon worden overgenomen. De cloudopslagdienst haalt ook uit naar Google, omdat het ontwikkelaars niet toestaat om hun Chrome-extensies te signeren. De extensies worden nu automatisch gesigneerd nadat ze naar de Chrome Web Store zijn geüpload. Volgens MEGA wordt hierdoor een belangrijke maatregel die tegen aanvallers moet beschermen weggenomen.

Voordat MEGA de waarschuwing gaf kwam Jeremy Nation van MetaCert al met een analyse van de besmette extensie. Het is niet voor het eerste dat aanvallers toegang tot het Web Store-account van een extensie-ontwikkelaar krijgen en vervolgens een besmette update of versie verspreiden. Eind vorig jaar werden acht Chrome-extensies ontdekt die waren gehackt en adware bij de 4,6 miljoen gebruikers installeerden. De aanvallers hadden bij deze ontwikkelaars de inloggegevens voor de Web Store via een phishingaanval weten te achterhalen.