Öt olyan vállalati HR (Humánerőforrás) és ERP (Vállalati Erőforrás Tervezés) rendszereket célzó rosszindulatú Chrome böngészőbővítményt fedezett fel a Socket biztonsági cég, amelyek célja a hitelesítő adatok megszerzése és a biztonsági incidensekre reagáló felügyeleti oldalak blokkolása volt. A Socket szerint a támadás célkeresztjében a Workday, a NetSuite és az SAP SuccessFactors rendszerek álltak és összesen közel 2300 alkalommal került telepítésre a rosszindulatú bővítmények valamelyike.
A rosszindulatú bővítményekkel vállalati HR és ERP platformok felhasználóit vették célba annak ígéretével, hogy a bővítmények fokozzák a termelékenységet, egyszerűsítik a munkafolyamatokat, javítják a biztonsági ellenőrzéseket, sőt, egyes esetekben még egyszerűsítik is a szoftverek „prémium eszközeihez” való hozzáférést. A Socket vizsgálata azonban kimutatta, hogy a bővítmények valójában rosszindulatú műveleteket hajtanak végre a háttérben, amelyek során három különböző támadástípust azonosítottak, köztük a (hitelesítő adatokat is tartalmazó) sütiadatok küldését távoli szerverekre, DOM-manipulációt (Document Object Model manipulation) és a biztonsági felügyeleti oldalak blokkolását, illetve kétirányú sütibefecskendezést (cookie injection) a közvetlen munkamenet-eltérítéshez. A bővítmények rosszindulatú működésével kapcsolatban részletesebb információ érhető el a Socket elemzésében.
A Socket jelentette a Google-nek az esetet, így a bővítmények már nem érhetők el az áruházban. Azok számára, akik telepítették a bővítményeket mindenképp javasolt a vállalat biztonsági rendszergazdáinak értesítése és a jelszavak azonnali megváltoztatása.
