多款 Chrome 瀏覽器擴(kuò)展程序被植入惡意代碼，以竊取用戶數(shù)據(jù)

IT之家 12 月 29 日消息，據(jù) BleepingComputer 報(bào)道，近期至少五款 Chrome 擴(kuò)展程序遭受協(xié)同攻擊，攻擊者通過注入惡意代碼竊取用戶敏感信息。數(shù)據(jù)丟失防護(hù)公司 Cyberhaven 于 12 月 24 日率先披露了其擴(kuò)展程序遭到入侵的消息，原因是其在 Google Chrome 商店的管理賬戶遭遇了成功的網(wǎng)絡(luò)釣魚攻擊。

據(jù)IT之家了解，Cyberhaven 的客戶包括 Snowflake、摩托羅拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展銀行、Upstart 和 Kirkland & Ellis 等知名企業(yè)。攻擊者劫持了 Cyberhaven 員工的賬戶，并發(fā)布了惡意版本的 Cyberhaven 擴(kuò)展程序（版本號(hào) 24.10.4），該版本包含可將已驗(yàn)證的會(huì)話和 Cookie 數(shù)據(jù)泄露到攻擊者控制的域名（cyberhavenext [.] pro）的代碼。

Cyberhaven 在發(fā)送給客戶的郵件中表示，其內(nèi)部安全團(tuán)隊(duì)在檢測(cè)到惡意程序后一小時(shí)內(nèi)就將其下架，干凈版本的擴(kuò)展程序（版本號(hào) 24.10.5）已于 12 月 26 日發(fā)布。除了升級(jí)到最新版本外，Cyberhaven Chrome 擴(kuò)展程序的用戶還被建議撤銷所有非 FIDOv2 的密碼，輪換所有 API 令牌，并檢查瀏覽器日志以評(píng)估是否存在惡意活動(dòng)。

在 Cyberhaven 披露事件后，Nudge Security 的研究員 Jaime Blasco 根據(jù)攻擊者的 IP 地址和注冊(cè)域名進(jìn)行了深入調(diào)查。Blasco 發(fā)現(xiàn)，用于讓擴(kuò)展程序接收攻擊者指令的惡意代碼片段也在同一時(shí)間段被注入到其他四款 Chrome 擴(kuò)展程序中，包括 Uvoice、ParrotTalks 等。Blasco 還發(fā)現(xiàn)了指向其他潛在受害者的更多域名，但只有以上四款擴(kuò)展程序被確認(rèn)為攜帶了惡意代碼片段。

建議用戶將這些擴(kuò)展程序從瀏覽器中移除，或升級(jí)到 12 月 26 日之后發(fā)布的、確認(rèn)已修復(fù)安全問題的安全版本。如果不確定擴(kuò)展程序的發(fā)布者是否已獲悉并修復(fù)了安全問題，最好卸載該擴(kuò)展程序，重置重要的賬戶密碼，清除瀏覽器數(shù)據(jù)，并將瀏覽器設(shè)置恢復(fù)到原始默認(rèn)設(shè)置。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。