Das Hauptziel des Angriffs war das Sammeln privater Nutzerdaten, insbesondere Browser-Cookies und Authentifizierungssitzungen. Experten zufolge waren die Hauptziele KI-Dienste und Werbeplattformen für soziale Medien, insbesondere Facebook Ads-Konten.Ironischerweise war Cyberhaven, ein Unternehmen, das Cybersicherheitslösungen anbietet, eines der betroffenen Unternehmen. Eine Phishing-E-Mail wurde verwendet, um ihre Data Loss Prevention-Erweiterung zu kompromittieren . Am 24. Dezember um 20:32 Uhr wurde die bösartige Version der Erweiterung (24.10.4) zur Verfügung gestellt. Obwohl das Unternehmen schnell reagierte und das Problem am nächsten Tag um 18:54 Uhr erkannte, funktionierte der bösartige Code noch bis zum 25. Dezember um 21:50 Uhr.
Jaime Blasco, ein Sicherheitsforscher, stellt fest, dass kein bestimmtes Unternehmen das Ziel dieses Angriffs war. Bei seinen Untersuchungen fand er denselben Schadcode in anderen Erweiterungen wie VPN- und KI-Tools.
Nach dem Vorfall veröffentlichte Cyberhaven eine Reihe von Sicherheitsrichtlinien für Unternehmen, die betroffen sein könnten. Zu den wichtigen Vorsichtsmaßnahmen gehören die sorgfältige Überprüfung der Systemprotokolle auf ungewöhnliche Aktivitäten und die sofortige Änderung der Passwörter aller Anmeldeinformationen, wenn diese nicht den ausgefeilten FIDO2-Sicherheitsstandard für die Multi-Faktor-Authentifizierung verwenden. Eine aktualisierte, sichere Version der Erweiterung mit der Bezeichnung 24.10.5 wurde von dem Unternehmen bereits zur Verfügung gestellt.