网络安全公司Cyberhaven的Chrome扩展程序遭黑客攻击，发布了携带恶意代码的24.10.4版本，该版本可窃取用户身份验证会话和Cookies。攻击源于员工账号被网络钓鱼劫持，黑客利用该账号在Chrome Web Store上发布恶意更新。值得注意的是，此次攻击并非个例，黑客同时攻击了多个扩展程序，包括Internxt VPN、VPNCity等，表明黑客已提前获取多个扩展程序的管理权限。尽管谷歌声称有安全机制，但扩展程序的安全性问题仍旧存在，用户需警惕任何扩展程序，因为它们随时可能被攻击携带恶意代码。

🎣Cyberhaven员工账号遭网络钓鱼，导致Chrome扩展程序被黑客投毒，发布恶意版本，可窃取用户数据。

🌐黑客并非只针对Cyberhaven，还同时攻击了多个扩展程序，如Internxt VPN等，表明黑客已提前获取多个扩展程序的管理权限，进行批量投毒。

⚠️谷歌的安全机制未能完全解决扩展程序安全问题，用户需警惕任何扩展程序，因为它们随时可能被攻击携带恶意代码。

浏览器扩展程序遭到黑客攻击并投毒并不是新鲜事，但网络安全公司发布的扩展程序还被黑客攻击并投毒就让人有些匪夷所思了啊，好歹也是网络安全公司防御水平多少有些影响名声。

位于美国加利福利亚州的 Cyber​​haven 是家致力于为企业提供数据安全防护的软件开发商，其产品包括检测潜在威胁避免企业员工泄露敏感数据。

日前该公司披露其员工遭到黑客的网络钓鱼，这名员工账号是 Chrome Web Store 的管理员，也就是可以控制其扩展程序的更新。

黑客劫持管理员账户后发布携带恶意代码的 Cyber​​haven 扩展程序 24.10.4 版，该版本可以窃取用户经过身份验证的会话和 Cookies 等数据。

所幸在被劫持 1 小时左右其内部安全团队就发现问题并立即删除了恶意扩展程序，发布此次公告主要是提醒使用其扩展程序的客户检查潜在的数据泄露风险。

值得注意的是安全研究人员 Jaime Blasco 针对此事件进行调查时还发现令人惊讶的问题：发起攻击的黑客在同一时间还对其他扩展程序展开攻击。

受到攻击的扩展程序包括 Internxt VPN、VPNCity、Uvoice、ParroTalks 等，也就是说黑客已经提前通过钓鱼方式拿到众多扩展程序的管理权限，然后在某个时候批量上架携带恶意代码的新版本。

但受影响的其实也不只是上述扩展程序，研究人员注意到黑客使用的域名和 IP 关联了多个扩展程序，只不过只有上述扩展程序在检测时发现了恶意代码。

所以这里我们又要提到一个老生常谈的问题：尽管谷歌经常发文声称通过各种安全机制检查扩展程序的安全性，但事实证明谷歌无法彻底解决扩展程序的安全性问题。

对用户而言就是不要轻信任何扩展程序，因为任何一个扩展程序都可能在某个时候遭到攻击然后携带恶意代码，遗憾的是这也是用户无法解决的问题，毕竟总不能所有扩展程序都不安装使用。