网络安全公司Cyberhaven的Chrome扩展程序遭黑客攻击，发布恶意版本24.10.4，窃取用户会话和Cookies。攻击源于员工账号被钓鱼劫持，黑客利用管理员权限发布恶意更新。公司在1小时内发现并删除恶意扩展，但提醒用户检查数据泄露风险。安全研究员发现黑客同时攻击多个扩展程序，包括Internxt VPN等，表明黑客已提前获取多个扩展程序的管理权限。尽管Google声称有安全检查机制，但扩展程序安全问题依然存在，用户需警惕风险。

🎣Cyberhaven员工账号遭钓鱼，黑客利用其Chrome Web Store管理员权限发布恶意扩展程序，版本号为24.10.4。

🍪恶意扩展程序可窃取用户经过身份验证的会话和Cookies等敏感数据，对用户隐私构成严重威胁。

🚨黑客并非只针对Cyberhaven，还同时攻击了包括Internxt VPN、VPNCity等多个扩展程序，表明黑客已提前获取多个管理权限，进行批量攻击。

🛡️尽管Google声称有安全机制，但扩展程序安全问题仍然存在，用户应警惕任何扩展程序都可能被攻击的风险。

⚠️用户无法彻底解决扩展程序安全问题，只能尽量选择信誉良好的开发者，并定期检查扩展程序的更新和权限。

浏览器扩展程序遭到黑客攻击并投毒并不是新鲜事，但网络安全公司发布的扩展程序还被黑客攻击并投毒就让人有些匪夷所思了啊，好歹也是网络安全公司防御水平多少有些影响名声。位于美国加利福利亚州的 Cyberhaven 是家致力于为企业提供数据安全防护的软件开发商，其产品包括检测潜在威胁避免企业员工泄露敏感数据。

日前该公司披露其员工遭到黑客的网络钓鱼，这名员工账号是 Chrome Web Store 的管理员，也就是可以控制其扩展程序的更新。

黑客劫持管理员账户后发布携带恶意代码的 Cyberhaven 扩展程序 24.10.4 版，该版本可以窃取用户经过身份验证的会话和 Cookies 等数据。

所幸在被劫持 1 小时左右其内部安全团队就发现问题并立即删除了恶意扩展程序，发布此次公告主要是提醒使用其扩展程序的客户检查潜在的数据泄露风险。

值得注意的是安全研究人员 Jaime Blasco 针对此事件进行调查时还发现令人惊讶的问题：发起攻击的黑客在同一时间还对其他扩展程序展开攻击。

受到攻击的扩展程序包括 Internxt VPN、VPNCity、Uvoice、ParroTalks 等，也就是说黑客已经提前通过钓鱼方式拿到众多扩展程序的管理权限，然后在某个时候批量上架携带恶意代码的新版本。

但受影响的其实也不只是上述扩展程序，研究人员注意到黑客使用的域名和 IP 关联了多个扩展程序，只不过只有上述扩展程序在检测时发现了恶意代码。

所以这里我们又要提到一个老生常谈的问题：尽管Google经常发文声称通过各种安全机制检查扩展程序的安全性，但事实证明Google无法彻底解决扩展程序的安全性问题。

对用户而言就是不要轻信任何扩展程序，因为任何一个扩展程序都可能在某个时候遭到攻击然后携带恶意代码，遗憾的是这也是用户无法解决的问题，毕竟总不能所有扩展程序都不安装使用。