Złośliwe rozszerzenia zagrażają Workday i SAP – czas na zmiany w IT

Czy Twój „dodatek do produktywności” właśnie przejął Twoje Workday? Jeśli zarządzasz HR, ERP albo finansami z poziomu przeglądarki, masz nowy powód, by spojrzeć na pasek rozszerzeń mniej ufnie.

Badacze z Socket odkryli pięć rozszerzeń do Chrome udających narzędzia dla Workday, NetSuite i SAP SuccessFactors. Zamiast pomagać, kradły tokeny logowania, wyłączały strony administracyjne i pozwalały na przejęcie sesji. Instalacji nie było dużo – ok. 2,3 tys. – ale stawka jest wysoka: dostęp do kont HR to skrót do danych osobowych, list płac i potencjalnego okupu.

To ważne, bo HR/ERP to dziś węzły SSO, gdzie jedno ciasteczko potrafi otworzyć drzwi od CRM-u po chmurę. A gdy złośliwe rozszerzenie kradnie tokeny sesyjne i blokuje strony reagowania na incydenty, firma traci nie tylko kontrolę, ale i czas. Ten sam wektor – „kliknij, żeby szybciej pracować” – widzimy też w kampaniach reklamowych podszywających się pod portale kadrowe. Ekosystem ataków na tożsamość dojrzewa, a rozszerzenia stają się w nim wygodnym narzędziem.

O co chodzi

Operacja wyglądała na skoordynowaną, choć rozszerzenia występowały pod różnymi szyldami: cztery publikował profil „databycloud1104” (m.in. DataByCloud 1, DataByCloud 2, Tool Access 11, DataByCloud Access), piąte nosiło markę Software Access. Opisy kusiły „dostępem do premium tools”, przyspieszaniem pracy z wieloma kontami i nawet „wzmocnieniem bezpieczeństwa”. Uprawnienia brzmiały rozsądnie dla integracji korporacyjnych. Polityki prywatności? Milczenie o zbieraniu danych.

Jak to działało w praktyce

Sedno ataku było trójtorowe. Po pierwsze, kradzież ciasteczek: rozszerzenia co 60 sekund wysysały z przeglądarki aktywne tokeny sesyjne (m.in. __session) dla domen Workday, NetSuite i SuccessFactors, wysyłając je na serwery C2, np. api.databycloud[.]com. Po drugie, manipulacja DOM, by odciąć administratorów od narzędzi bezpieczeństwa: Tool Access 11 blokował 44 kluczowe strony w Workday (od polityk uwierzytelniania, przez konfigurację proxy, zakresy IP, po kontrolę sesji), a Data By Cloud 2 rozszerzał to do 56, dokładając m.in. zarządzanie hasłami, dezaktywację kont, 2FA i logi audytowe. Efekt: gdy dochodzi do incydentu, możesz zobaczyć pustą stronę albo nietypowe przekierowanie. Po trzecie, bezpośrednie przejęcie sesji. Najbardziej wyrafinowany był Software Access: poza kradzieżą ciasteczek potrafił wstrzyknąć do przeglądarki atakującego tokeny wykradzione innym ofiarom (z api.software-access[.]com), ustanawiając ich stan uwierzytelnienia u napastnika. Innymi słowy: Twoja sesja ląduje na cudzym komputerze jak bilet wstępu bez imienia i nazwiska. Dodatkowo DataByCloud 1 utrudniał inspekcję kodu (DisableDevtool), a komunikacja C2 była szyfrowana. [2]

Ślad, skala, zasięg

Dwie najpopularniejsze pozycje – DataByCloud 1 i 2 – publikowano już od sierpnia 2021 r., każda po ok. 1 tys. instalacji. W styczniu 2026 r. Socket opisał operację i zgłosił dodatki do Google; według badaczy cztery rozszerzenia usunięto z Chrome Web Store, ale jedno wciąż miało listing. Wszystkie nadal łatwo znaleźć na serwisach z oprogramowaniem firm trzecich pokroju Softonic. Wskazywały na to identyczne listy wykrywanych narzędzi, zbieżne wzorce API i wspólna infrastruktura – mimo „różnych wydawców” to jedna orkiestra.

Dlaczego to się spina ze szerszym trendem

Ataki na tożsamość w HR/finansach kwitną, bo ROI jest bardzo wysokie. Check Point opisał niedawno „Payroll Pirates” – kampanię reklam w Google i Bing podszywających się pod portale kadrowe, która przyciągnęła nawet pół miliona użytkowników i w locie wyłudzała kody MFA przez boty na Telegramie. Z innej strony, BleepingComputer ujawnił „Phantom Shuttle” – rozszerzenia-proxy, które od dawna wiszą w Web Storze i potrafią wpiąć się między użytkownika a setki serwisów, wyciągając dane z formularzy i nagłówków. A na zapleczu tej sceny działają grupy w stylu ShinyHunters, które łączą vishing, kompromitacje łańcucha dostaw i insiderów, by zdobywać SSO i monetyzować dostęp – od wycieku danych po ransomware-as-a-service. Nie twierdzimy, że to oni stoją za DataByCloud; mówimy: rynek zbytu na takie tokeny istnieje.

Co tu jest naprawdę niebezpieczne

Dwa elementy. Pierwszy: omijanie MFA. Ciasteczko sesyjne to stan „już po MFA”, więc jego kradzież przenosi napastnika na drugą stronę bramki. Drugi: sabotaż IR. Blokowanie paneli bezpieczeństwa w Workday ogranicza zdolność do zauważenia i wygaszenia incydentu, dając atakującym przewagę czasową. To rzadko spotykana, a przemyślana kombinacja – najpierw kradzież kluczy, potem sabotaż narzędzi bezpieczeństwa.

I co teraz

To moment, w którym polityka firmowej przeglądarki przestaje być „nice to have”. Blokada instalacji własnych rozszerzeń, allowlisty wydawców, skanowanie uprawnień i telemetria na poziomie endpointów – to nudne, ale działa. Dla użytkownika końcowego rada jest równie prosta: mniej klików „Dodaj do Chrome, bo usprawni workflow”, więcej pytań „kto to wydał, jakie ma zgody i po co?”. Brzmi jak hamulec produktywności. Alternatywą jest utrata sesji.

Podsumowanie

Rozszerzenia udające narzędzia do Workday/NetSuite/SuccessFactors pokazały, że pasek dodatków może być wektorem ataku tak samo groźnym jak phishing czy zainfekowany pakiet npm. Kradzież ciasteczek i blokada stron bezpieczeństwa to duet, który uderza w serce operacji IT – tożsamość i czas reakcji. Czy to znaczy, że mamy porzucić rozszerzenia? Nie. To znaczy, że trzeba wreszcie nimi zarządzać, jakby chodziło o produkcję, nie o gadżety.

FAQ

Czy złośliwe rozszerzenia DataByCloud/Tool Access/Software Access są nadal dostępne w Chrome Web Store?

Cztery z pięciu rozszerzeń zostały usunięte, a jedno w momencie publikacji raportów jeszcze widniało w sklepie. Wszystkie mogą nadal krążyć na stronach z oprogramowaniem firm trzecich.

Jak sprawdzić, czy mam zainstalowane jedno z tych rozszerzeń?

Najprościej: chrome://extensions i wyszukaj nazwy „DataByCloud”, „Tool Access 11” lub „Software Access”. Jeśli widzisz je na liście, natychmiast wyłącz, usuń i wyczyść ciasteczka dla Workday/NetSuite/SuccessFactors, a potem zresetuj sesje i hasła.

Czy MFA chroni przed kradzieżą ciasteczek sesyjnych?

Nie, kradzież aktywnego ciasteczka omija MFA, bo token reprezentuje już uwierzytelnioną sesję. Pomagają mechanizmy detekcji anomalii, ograniczenia IP/ryzyka i krótkie TTL sesji.

Czy Chrome Web Store jest bezpieczny dla firmowych rozszerzeń?

Nie w 100% – moderacja nie wyłapuje wszystkiego. W firmach lepiej stosować allowlisty rozszerzeń/wydawców i centralne zarządzanie politykami przeglądarki.

Dlaczego rozszerzenia blokowały strony administracyjne w Workday?

Aby utrudnić reakcję na incydent i przedłużyć żywotność włamania. Blokując polityki logowania, 2FA i logi, atakujący zyskiwali czas na eskalację dostępu i eksfiltrację danych.

Źródła

• [1] https://bleepingcomputer.com/news/security/credential-stealing-chrome-extensions-target-enterprise-hr-platforms/
• [2] https://thehackernews.com/2026/01/five-malicious-chrome-extensions.html
• [3] https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications
• [4] https://techradar.com/pro/security/scammers-trick-over-500-000-victims-with-fake-google-bing-ads-to-steal-personal-info
• [5] https://bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/