最近的一次攻击活动破坏了 16 个 Chrome 浏览器扩展程序,使超过 600,000 名用户面临潜在的数据盗窃和凭证泄露风险。该活动通过网络钓鱼针对发布商,允许攻击者将恶意代码注入合法扩展中。
Chrome 扩展程序遭到黑客攻击:超过 600,000 名用户受到威胁
网络安全公司 网络天堂 是第一个已知的受害者,一名员工于 12 月 24 日陷入网络钓鱼攻击。这次漏洞使攻击者能够发布 Cyberhaven 扩展程序的恶意版本。 12 月 27 日,Cyberhaven 确认该扩展已被泄露,恶意代码已被注入以与 cyberhavenext 的外部命令和控制 (C&C) 服务器进行交互[.]亲。
这封网络钓鱼电子邮件伪装成来自 Google Chrome 网上应用店开发人员支持的通信,制造了一种虚假的紧迫感,声称收件人的扩展程序因违反政策而面临被删除的风险。单击该链接会将他们引导至名为“隐私策略扩展”的恶意 OAuth 应用程序,该应用程序获得了上传恶意版本的扩展程序所需的权限。
在 Cyberhaven 遭到破坏后,研究人员发现了与同一 C&C 服务器相关的其他受损扩展,包括 AI Assistant – 聊天GPT 和 双子座 Chrome 版、VPNCity 以及其他几个。 Secure Annex 创始人约翰·塔克纳 (John Tuckner) 表示 黑客新闻 该攻击活动可能可以追溯到 2023 年 4 月 5 日。
塔克纳的调查通过“阅读器模式”扩展中的共享恶意代码将 Cyberhaven 和相关攻击联系起来。一些受损的扩展程序针对 Facebook 帐户,特别是 Facebook 广告中的帐户,旨在窃取 cookie 和访问令牌。
Cyberhaven 报告称,该恶意扩展程序在上线约 24 小时后被删除。不过,有人警告说,恶意代码仍然可以从安装了受感染版本的用户那里检索数据,然后再将其删除。安全团队继续调查这一更广泛的活动中其他暴露的扩展。
谷歌浏览器双因素身份验证漏洞
随着 Cyberhaven 漏洞的展开,它暴露了一些重大漏洞,包括黑客绕过双因素身份验证保护的可能性。 Cyberhaven 证实,此次攻击专门针对社交媒体广告和人工智能平台的登录。
此次泄露始于网络钓鱼攻击,该攻击损害了员工的 Google 凭据,使攻击者能够上传恶意扩展。 Cyberhaven 首席执行官 Howard Ting 证实,他们的团队在 12 月 25 日上线后不久就检测到了该恶意扩展,并在一小时内将其删除。
受损版本仅影响在恶意代码生效期间自动更新 Chrome 的用户。 Cyberhaven 迅速采取了行动,通知客户并部署了扩展程序的安全版本。
Cyberhaven 建议受影响的用户验证是否已更新其扩展程序、撤销和轮换不符合 FIDOv2 的密码,并检查日志是否存在可疑活动。他们已聘请外部安全公司进行取证分析,并与执法部门合作,作为应对违规行为的一部分。
鉴于该事件,Cyberhaven 重申了其对透明度和持续安全改进的承诺。
特色图片来源: 凯雷姆·葛兰/中途
