一场新的攻击活动针对知名的Chrome浏览器扩展程序,导致至少16个扩展程序被入侵,超过60万用户面临数据泄露和凭证被盗的风险。
此次攻击通过钓鱼活动针对Chrome Web Store上的浏览器扩展程序发布者,并利用其访问权限在合法扩展程序中插入恶意代码,以窃取用户的Cookie和访问令牌。
已知首个被曝光的企业是网络安全公司Cyberhaven。12月27日,Cyberhaven披露称,威胁行为者入侵了其浏览器扩展程序,并注入了恶意代码,与位于域名cyberhavenext[.]pro的外部命令与控制(C&C)服务器通信,下载额外的配置文件并窃取用户数据。
专注于浏览器扩展安全的LayerX Security公司CEO Or Eshed表示:“浏览器扩展是网络安全的软肋。尽管我们倾向于认为浏览器扩展是无害的,但实际上,它们通常被授予访问敏感用户信息的广泛权限,例如Cookie、访问令牌、身份信息等。”
Eshed补充道:“许多组织甚至不知道他们的终端上安装了哪些扩展程序,也不清楚其暴露的程度。”
在Cyberhaven被入侵的消息曝光后,其他同样被入侵并与同一C&C服务器通信的扩展程序也迅速被识别出来。SaaS安全公司Nudge Security的CTO Jamie Blasco发现了其他解析到与Cyberhaven入侵事件中使用的C&C服务器相同IP地址的域名。
目前怀疑被入侵的其他浏览器扩展程序包括:
- AI Assistant - ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
这些被入侵的扩展程序表明,Cyberhaven并非孤立的目标,而是一场针对合法浏览器扩展程序的大规模攻击活动的一部分。
对Cyberhaven被入侵事件的分析显示,恶意代码主要针对Facebook账户的身份数据和访问令牌,特别是Facebook商业账户。
Cyberhaven表示,恶意版本的浏览器扩展程序在上线约24小时后被移除。其他一些被曝光的扩展程序也已更新或从Chrome Web Store中移除。
然而,Or Eshed指出,扩展程序从Chrome商店中移除并不意味着风险已经结束。“只要被入侵的扩展程序版本仍在终端上运行,黑客仍然可以访问并窃取数据。”
安全研究人员正在继续寻找其他被曝光的扩展程序,但此次攻击活动的复杂性和范围已使许多组织更加重视保护其浏览器扩展程序的安全性。
