多款Chrome瀏覽器擴展程序被植入惡意代碼,以竊取用戶數據快訊
并發布了惡意版本的 Cyberhaven 擴展程序(版本號 24.10.4),Cyberhaven Chrome 擴展程序的用戶還被建議撤銷所有非 FIDOv2 的密碼,用于讓擴展程序接收攻擊者指令的惡意代碼片段也在同一時間段被注入到其他四款 Chrome 擴展程序中。
12 月 29 日消息,據 BleepingComputer 報道,近期至少五款 Chrome 擴展程序遭受協同攻擊,攻擊者通過注入惡意代碼竊取用戶敏感信息。數據丟失防護公司 Cyberhaven 于 12 月 24 日率先披露了其擴展程序遭到入侵的消息,原因是其在 Google Chrome 商店的管理賬戶遭遇了成功的網絡釣魚攻擊。
據了解,Cyberhaven 的客戶包括 Snowflake、摩托羅拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展銀行、Upstart 和 Kirkland & Ellis 等知名企業。攻擊者劫持了 Cyberhaven 員工的賬戶,并發布了惡意版本的 Cyberhaven 擴展程序(版本號 24.10.4),該版本包含可將已驗證的會話和 Cookie 數據泄露到攻擊者控制的域名(cyberhavenext [.] pro)的代碼。
Cyberhaven 在發送給客戶的郵件中表示,其內部安全團隊在檢測到惡意程序后一小時內就將其下架,干凈版本的擴展程序(版本號 24.10.5)已于 12 月 26 日發布。除了升級到最新版本外,Cyberhaven Chrome 擴展程序的用戶還被建議撤銷所有非 FIDOv2 的密碼,輪換所有 API 令牌,并檢查瀏覽器日志以評估是否存在惡意活動。
在 Cyberhaven 披露事件后,Nudge Security 的研究員 Jaime Blasco 根據攻擊者的 IP 地址和注冊域名進行了深入調查。Blasco 發現,用于讓擴展程序接收攻擊者指令的惡意代碼片段也在同一時間段被注入到其他四款 Chrome 擴展程序中,包括 Uvoice、ParrotTalks 等。Blasco 還發現了指向其他潛在受害者的更多域名,但只有以上四款擴展程序被確認為攜帶了惡意代碼片段。
建議用戶將這些擴展程序從瀏覽器中移除,或升級到 12 月 26 日之后發布的、確認已修復安全問題的安全版本。如果不確定擴展程序的發布者是否已獲悉并修復了安全問題,最好卸載該擴展程序,重置重要的賬戶密碼,清除瀏覽器數據,并將瀏覽器設置恢復到原始默認設置。(遠洋)
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
