«Расширение обновилось, и Chrome попросил новое разрешение (считывать данные со всех сайтов). Это показалось мне подозрительным, и я локально изучил код расширения. MEGA выкладывает свой исходный код на GitHub, но никаких обновлений в последнее время там не было. Я думаю, что либо был взломан их аккаунт в Google Webstore, либо это сделал кто-то внутри MEGA», — пишет пользователь Reddit.
Кроме того, пользователь Twitter под ником SerHack сообщил, что скомпрометированное расширение способно воровать логины и пароли с порталов Amazon, GitHub, Google и Microsoft.
Позднее официальный комментарий выпустил и сам сервис MEGA, признавший факт инцидента.
«4 сентября 2018 года в 14:30 UTC (прим. – 17:30 МСК) неизвестный хакер загрузил вредоносную версию расширения MEGA в магазин Google Chrome. После установки или автоматического обновления оно просит расширить разрешения (на считывание и изменение данных на всех сайтах, которые вы посещаете), чего настоящее расширение MEGA никогда не делает, в том числе для сайтов amazon.com, live.com, github.com, google.com (для захода в магазин), myetherwallet.com, mymonero.com, idex.market и запросов HTTP POST для других сайтов, передавая собранные данные на украинский сервер», — пишет сервис в своём блоге.
Таким образом, известно, что в числе прочего вредоносное расширение собирает данные Ethereum-кошелька MyEtherWallet, Monero-кошелька MyMonero и децентрализованной биржи ERC20-токенов IDEX.
«Вы могли стать жертвой этой атаки только в том случае, если устанавливали расширение MEGA для Chrome во время инцидента или не отключали автообновление и согласились предоставить дополнительные разрешения. Пожалуйста, учтите, что, если вы сделали это в течение 5 часов, пока Google не удалил вредоносное расширение из магазина расширений Chrome, ваши данные следует считать скомпрометированными», — добавляет MEGA.
В настоящее время расширение MEGA в магазине Google Chrome по-прежнему недоступно.