近期,網絡安全領域發生了一起重大事件,涉及多個知名的Chrome擴展程序。據報道,至少五款Chrome擴展程序在同一時間段內遭受了協同攻擊,攻擊者通過在這些擴展程序中注入惡意代碼,意圖竊取用戶的敏感信息。
事件的起因可以追溯到12月24日,數據丟失防護公司Cyberhaven率先披露了其擴展程序遭到入侵的消息。據透露,Cyberhaven在Google Chrome商店的管理賬戶遭遇了成功的網絡釣魚攻擊,導致攻擊者得以劫持其員工的賬戶,并發布了惡意版本的Cyberhaven擴展程序。該惡意版本(版本號24.10.4)包含了可將用戶的已驗證會話和cookie數據泄露到攻擊者控制的域名(cyberhavenext[.]pro)的代碼。
Cyberhaven的客戶名單中不乏知名企業,包括Snowflake、摩托羅拉、佳能、Reddit等。在得知擴展程序被篡改后,Cyberhaven迅速采取行動,其內部安全團隊在檢測到惡意程序后一小時內就將其從Chrome商店下架,并發布了干凈版本的擴展程序(版本號24.10.5)。為了保障用戶安全,Cyberhaven還建議用戶撤銷所有非FIDOv2的密碼,輪換所有API令牌,并檢查瀏覽器日志以評估是否存在惡意活動。
然而,這起事件并未就此結束。在Cyberhaven披露事件后,Nudge Security的研究員Jaime Blasco進行了深入調查。他根據攻擊者的IP地址和注冊域名,發現用于讓擴展程序接收攻擊者指令的惡意代碼片段也在同一時間段被注入到其他四款Chrome擴展程序中,這些擴展程序包括Uvoice、ParrotTalks等。Blasco還發現了指向其他潛在受害者的更多域名,但經過確認,只有以上四款擴展程序被注入了惡意代碼片段。
面對這一嚴峻形勢,網絡安全專家強烈建議用戶立即采取行動。對于已經安裝了這些受影響的擴展程序的用戶,他們應該盡快將這些擴展程序從瀏覽器中移除,或者升級到12月26日之后發布的、確認已修復安全問題的安全版本。如果用戶不確定擴展程序的發布者是否已獲悉并修復了安全問題,那么為了安全起見,最好卸載該擴展程序,并重置重要的賬戶密碼、清除瀏覽器數據,將瀏覽器設置恢復到原始默認設置。
