Att samla in privat användarinformation, särskilt webbläsarcookies och autentiseringssessioner, var huvudmålet med attacken. Experter noterade att de primära målen var AI-tjänster och reklamplattformar för sociala medier, med särskild tonvikt på Facebook Ads-konton.
Ironiskt nog var Cyberhaven, ett företag som erbjuder cybersäkerhetslösningar, ett av de drabbade företagen. Ett phishing-e-postmeddelande användes för att kompromettera deras tillägg för dataförlustskydd. Klockan 20:32 den 24 december gjordes den skadliga versionen av deras tillägg (24.10.4) tillgänglig.
Även om företaget reagerade snabbt och identifierade problemet nästa dag klockan 18:54, fortsatte den skadliga koden att fungera fram till 21:50 den 25 december.
Jaime Blasco, en säkerhetsforskare, konstaterar att inget särskilt företag var målet för denna attack. Han hittade samma skadliga kod i andra tillägg, som VPN- och AI-verktyg, när han genomförde sin undersökning.
Efter incidenten släppte Cyberhaven ett antal säkerhetsriktlinjer för organisationer som kan påverkas.
Viktiga försiktighetsåtgärder är att kontrollera systemloggarna noggrant för ovanlig aktivitet och ändra alla autentiseringsuppgifters lösenord direkt om de inte använder den sofistikerade FIDO2-säkerhetsstandarden för multifaktorautentisering.
En uppdaterad, säker version av tillägget, med beteckningen 24.10.5, har redan gjorts tillgänglig av företaget.