一场新的攻击活动针对知名的 Chrome 浏览器扩展程序,导致至少 16 个扩展程序被入侵,超过 60 万用户面临数据泄露和凭证被盗的风险。
此次攻击通过钓鱼活动针对 Chrome Web Store 上的浏览器扩展程序发布者,并利用其访问权限在合法扩展程序中插入恶意代码,以窃取用户的 Cookie 和访问令牌。
已知首个被曝光的企业是网络安全公司 Cyberhaven。12 月 27 日,Cyberhaven 披露称,威胁行为者入侵了其浏览器扩展程序,并注入了恶意代码,与位于域名 cyberhavenext[.]pro 的外部命令与控制(C&C)服务器通信,下载额外的配置文件并窃取用户数据。
专注于浏览器扩展安全的 LayerX Security 公司 CEO Or Eshed 表示:“浏览器扩展是网络安全的软肋。尽管我们倾向于认为浏览器扩展是无害的,但实际上,它们通常被授予访问敏感用户信息的广泛权限,例如 Cookie、访问令牌、身份信息等。”
Eshed 补充道:“许多组织甚至不知道他们的终端上安装了哪些扩展程序,也不清楚其暴露的程度。”
在 Cyberhaven 被入侵的消息曝光后,其他同样被入侵并与同一C&C服务器通信的扩展程序也迅速被识别出来。SaaS 安全公司 Nudge Security 的 CTO Jamie Blasco 发现了其他解析到与 Cyberhaven 入侵事件中使用的C&C服务器相同 IP 地址的域名。
目前怀疑被入侵的其他浏览器扩展程序包括:
AI Assistant - ChatGPT and Gemini for Chrome
Bard AI Chat Extension
GPT 4 Summary with OpenAI
Search Copilot AI Assistant for Chrome
TinaMInd AI Assistant
Wayin AI
VPNCity
Internxt VPN
Vindoz Flex Video Recorder
VidHelper Video Downloader
Bookmark Favicon Changer
Castorus
Uvoice
Reader Mode
Parrot Talks
Primus
这些被入侵的扩展程序表明,Cyberhaven 并非孤立的目标,而是一场针对合法浏览器扩展程序的大规模攻击活动的一部分。
对 Cyberhaven 被入侵事件的分析显示,恶意代码主要针对 Facebook 账户的身份数据和访问令牌,特别是 Facebook 商业账户。
Cyberhaven 表示,恶意版本的浏览器扩展程序在上线约 24 小时后被移除。其他一些被曝光的扩展程序也已更新或从 Chrome Web Store 中移除。
然而,Or Eshed 指出,扩展程序从 Chrome 商店中移除并不意味着风险已经结束。“只要被入侵的扩展程序版本仍在终端上运行,黑客仍然可以访问并窃取数据。”
安全研究人员正在继续寻找其他被曝光的扩展程序,但此次攻击活动的复杂性和范围已使许多组织更加重视保护其浏览器扩展程序的安全性。
参考来源:https://thehackernews.com/2024/12/16-chrome-extensions-hacked-exposing.html
