Si usas la extensión de MEGA en Chrome, todos tus passwords han sido robados.

Estándar

¡Peligro Will Robinson! Si tú estas utilizando la extensión del navegador Chrome del servicio de almacenamiento de archivos MEGA, desinstálelo ahora mismo.

¿Por qué? Pues la extensión oficial de Chrome para el servicio de almacenamiento en la nube MEGA.nz había sido comprometida y reemplazada con una versión maliciosa que puede robar las credenciales de los usuarios para sitios web populares como Amazon, Microsoft, Github y Google, así como claves privadas para billeteras de criptomonedas de los usuarios.

El 4 de septiembre a las 14:30 UTC, un atacante desconocido logró piratear la cuenta de la tienda web Google Chrome de MEGA y cargar una versión maliciosa cuyo número de versión es 3.39.4, según se puede leer en una entrada de blog de MEGA.

Tras la instalación o actualización automática, la extensión maliciosa solicitó permisos elevados para acceder a la información personal, lo que le permite robar credenciales de sitios como Amazon, Github y Google, junto con billeteras en línea como MyEtherWallet, MyMonero e Idex.market que una plataforma de intercambio de criptomonedas.

La extensión MEGA troyanizada luego envió toda la información robada al servidor de un atacante ubicado en megaopac[.]host en Ucrania, que luego es utilizada por los atacantes para iniciar sesión en las cuentas de las víctimas y también extraer las claves privadas de criptomoneda para robar las criptomonedas de los usuarios afectados.

Según se puede leer en el blog de MEGA, que los usuarios afectados son estos:

Solo se verá afectado si tuviera la extensión MEGA Chrome instalada en el momento del incidente, la actualización automática habilitada y si aceptó el permiso adicional o si acaba de instalar la versión 3.39.4

La compañía también dijo que Google no permitió a los editores firmar sus propias extensiones de Chrome y ahora confía únicamente en que Google las suscriba automáticamente después de que se cargue la extensión, lo que facilita a los ciberdelincuentes el envío de nuevas actualizaciones como lo hacen los desarrolladores.

La cuenta oficial de Twitter de Monero (XMR) también publicó una advertencia sobre el incidente, diciendo que la extensión maliciosa de MEGA también incluye la funcionalidad para robar la criptomoneda Monero y aconsejar a los titulares de Monero que se mantengan alejados de la extensión.

Un investigador de seguridad, que informó por primera vez de la violación, también publicó una advertencia en Reddit y Twitter, informando a los usuarios que eviten la extensión maliciosa de MEGA.

Aunque la compañía no ha revelado la cantidad de usuarios afectados por el incidente de seguridad, se cree que la versión maliciosa de la extensión MEGA Chrome puede haber sido instalada por decenas de millones de usuarios.

La versión de Firefox de MEGA no se ha visto afectada o manipulada y los usuarios que acceden a MEGA a través de su sitio web oficial (https://mega.nz) sin la extensión de Chrome tampoco se ven afectados por el problema de seguridad.

Cuatro horas después de que la violación de seguridad se llevara a cabo, la compañía se enteró del incidente y actualizó la extensión con una versión MEGA limpia (3.39.5), actualizando automáticamente todas las instalaciones afectadas.

Google también eliminó la extensión MEGA de Chrome Web Store cinco horas después de la violación.

Sin embargo, todos los usuarios de esta extensión deben considerar que sus credenciales han sido comprometidas en los sitios web y las aplicaciones web que visitaron mientras la extensión maliciosa de MEGA Chrome estaba activa en su computadora. Esto es lo que dice MEGA en su blog:

Tenga en cuenta que si visitó cualquier sitio o utilizó otra extensión que envía credenciales de texto sin formato a través de solicitudes POST, ya sea mediante el envío directo del formulario o a través de un proceso XMLHttpRequest en segundo plano (MEGA no es uno de ellos) mientras la extensión maliciosa estaba activa, considere que sus credenciales se vieron comprometidas en estos sitios y/o aplicaciones

Los usuarios que hayan instalado la extensión maliciosa deberían desinstalar la extensión MEGA versión 3.39.4 ahora mismo y cambiar las contraseñas de todas sus cuentas, especialmente aquellas que haya usado al tener la extensión maliciosa activa.