A hackerek állítólag több Chrome-bővítményt is módosíthattak rosszindulatú kóddal ebben a hónapban, miután egy adathalász kampányon keresztül hozzáfértek a rendszergazdai fiókokhoz. A Cyberhaven kiberbiztonsági cég egy blogbejegyzésben ezen a hétvégén osztotta meg, hogy a Chrome-bővítményét december 24-én feltörték egy támadásban, amely úgy tűnt, hogy „meghatározott közösségi médiában való hirdetésre és mesterséges intelligencia platformokra célzott bejelentkezéseket”. A Reuters jelentése szerint néhány további bővítést is elértek, december közepéig. A Nudge Security Jaime Blasco szerint ide tartozik a ParrotTalks, az Uvoice és a VPNCity.
A Cyberhaven december 26-án értesítette ügyfeleit a TechCrunch által látott e-mailben, amelyben azt tanácsolta nekik, hogy vonják vissza és változtassák meg jelszavaikat és egyéb hitelesítő adataikat. A vállalat az incidens kezdeti vizsgálata során megállapította, hogy a rosszindulatú bővítmény a Facebook Ads felhasználóit célozta meg azzal a céllal, hogy adatokat, például hozzáférési tokeneket, felhasználói azonosítókat és egyéb fiókadatokat, valamint cookie-kat lopjon el. A kód egy egérkattintás-figyelőt is hozzáadott. „Miután sikeresen elküldte az összes adatot a (Command & Control) szerverre, a Facebook felhasználói azonosítója a böngésző tárhelyére kerül” – mondta a Cyberhaven elemzésében. „Ezt a felhasználói azonosítót ezután az egérkattintásos eseményekben használják fel, hogy segítsék a támadókat, akik 2FA-val állnak az oldalukon, ha erre szükség volt.”
A Cyberhaven azt mondta, hogy először december 25-én észlelte a jogsértést, és egy órán belül el tudta távolítani a bővítmény rosszindulatú verzióját. Azóta megjelent egy tiszta verzió.