Å høste privat brukerinformasjon, spesielt nettleserinformasjonskapsler og autentiseringsøkter, var hovedmålet med angrepet. Eksperter bemerket at de primære målene var AI-tjenester og annonseringsplattformer for sosiale medier, med spesiell vekt på Facebook Ads-kontoer.
Ironisk nok var Cyberhaven, et selskap som tilbyr cybersikkerhetsløsninger, en av de berørte virksomhetene. En phishing-e-post ble brukt til å kompromittere utvidelsen for forebygging av datatap. Klokken 20:32 den 24 desember ble den ondsinnede versjonen av utvidelsen deres (24.10.4) gjort tilgjengelig.
Selv om selskapet reagerte raskt og identifiserte problemet neste dag klokken 18:54, fortsatte den ondsinnede koden å fungere til 21:50 den 25.
Jaime Blasco, en sikkerhetsforsker, bemerker at ingen bestemt selskap var målet for dette angrepet. Han fant den samme ondsinnede koden i andre utvidelser, for eksempel VPN- og AI-verktøy, mens han utførte etterforskningen.
Etter hendelsen ga Cyberhaven ut en rekke sikkerhetsretningslinjer for organisasjoner som kan bli påvirket.
Viktige forholdsregler inkluderer å sjekke systemlogger nøye for uvanlig aktivitet og endre passordene til all legitimasjon med en gang hvis de ikke bruker den sofistikerte FIDO2-sikkerhetsstandarden for flerfaktorautentisering.
En oppdatert, sikker versjon av utvidelsen, betegnet 24.10.5, er allerede gjort tilgjengelig av selskapet.