12 月 29 日消息,据 BleepingComputer 报道,近期至少五款 Chrome 扩展程序遭受协同攻击,攻击者通过注入恶意代码窃取用户敏感信息。数据丢失防护公司 Cyberhaven 于 12 月 24 日率先披露了其扩展程序遭到入侵的消息,原因是其在 Google Chrome 商店的管理账户遭遇了成功的网络钓鱼攻击。
据IT之家了解,Cyberhaven 的客户包括 Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展银行、Upstart 和 Kirkland & Ellis 等知名企业。攻击者劫持了 Cyberhaven 员工的账户,并发布了恶意版本的 Cyberhaven 扩展程序(版本号 24.10.4),该版本包含可将已验证的会话和 Cookie 数据泄露到攻击者控制的域名(cyberhavenext [.] pro)的代码。
Cyberhaven 在发送给客户的邮件中表示,其内部安全团队在检测到恶意程序后一小时内就将其下架,干净版本的扩展程序(版本号 24.10.5)已于 12 月 26 日发布。除了升级到最新版本外,Cyberhaven Chrome 扩展程序的用户还被建议撤销所有非 FIDOv2 的密码,轮换所有 API 令牌,并检查浏览器日志以评估是否存在恶意活动。
在 Cyberhaven 披露事件后,Nudge Security 的研究员 Jaime Blasco 根据攻击者的 IP 地址和注册域名进行了深入调查。Blasco 发现,用于让扩展程序接收攻击者指令的恶意代码片段也在同一时间段被注入到其他四款 Chrome 扩展程序中,包括 Uvoice、ParrotTalks 等。Blasco 还发现了指向其他潜在受害者的更多域名,但只有以上四款扩展程序被确认为携带了恶意代码片段。
建议用户将这些扩展程序从浏览器中移除,或升级到 12 月 26 日之后发布的、确认已修复安全问题的安全版本。如果不确定扩展程序的发布者是否已获悉并修复了安全问题,最好卸载该扩展程序,重置重要的账户密码,清除浏览器数据,并将浏览器设置恢复到原始默认设置。
