近期，至少五款Chrome扩展程序遭受协同攻击，攻击者通过注入恶意代码窃取用户敏感信息。数据丢失防护公司Cyberhaven的扩展程序因管理账户遭遇网络钓鱼攻击被劫持，发布了恶意版本，泄露用户会话和Cookie数据。Cyberhaven迅速下架恶意版本并发布修复版本。随后，研究人员发现其他四款扩展程序也受到类似攻击，被注入恶意代码。建议用户移除或升级这些扩展程序，并重置密码、清除浏览器数据，恢复浏览器设置，以确保账户安全。

🎣 **网络钓鱼攻击：** Cyberhaven的Chrome扩展程序因管理账户遭遇网络钓鱼攻击被劫持，攻击者发布恶意版本，泄露用户会话和Cookie数据。

🍪 **数据泄露风险：** 恶意扩展程序包含代码，可将已验证的会话和Cookie数据泄露到攻击者控制的域名，威胁用户敏感信息安全。

🛠️ **协同攻击：** 研究人员发现，除了Cyberhaven，其他四款Chrome扩展程序也同时被注入恶意代码，表明存在协同攻击行为。

🛡️ **安全建议：** 用户应移除或升级受影响的扩展程序，并撤销非FIDOv2密码，轮换API令牌，检查浏览器日志，以评估是否存在恶意活动。

IT之家 12 月 29 日消息，据 BleepingComputer 报道，近期至少五款 Chrome 扩展程序遭受协同攻击，攻击者通过注入恶意代码窃取用户敏感信息。数据丢失防护公司 Cyberhaven 于 12 月 24 日率先披露了其扩展程序遭到入侵的消息，原因是其在 Google Chrome 商店的管理账户遭遇了成功的网络钓鱼攻击。

据IT之家了解，Cyberhaven 的客户包括 Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展银行、Upstart 和 Kirkland & Ellis 等知名企业。攻击者劫持了 Cyberhaven 员工的账户，并发布了恶意版本的 Cyberhaven 扩展程序（版本号 24.10.4），该版本包含可将已验证的会话和 Cookie 数据泄露到攻击者控制的域名（cyberhavenext [.] pro）的代码。

Cyberhaven 在发送给客户的邮件中表示，其内部安全团队在检测到恶意程序后一小时内就将其下架，干净版本的扩展程序（版本号 24.10.5）已于 12 月 26 日发布。除了升级到最新版本外，Cyberhaven Chrome 扩展程序的用户还被建议撤销所有非 FIDOv2 的密码，轮换所有 API 令牌，并检查浏览器日志以评估是否存在恶意活动。

在 Cyberhaven 披露事件后，Nudge Security 的研究员 Jaime Blasco 根据攻击者的 IP 地址和注册域名进行了深入调查。Blasco 发现，用于让扩展程序接收攻击者指令的恶意代码片段也在同一时间段被注入到其他四款 Chrome 扩展程序中，包括 Uvoice、ParrotTalks 等。Blasco 还发现了指向其他潜在受害者的更多域名，但只有以上四款扩展程序被确认为携带了恶意代码片段。

建议用户将这些扩展程序从浏览器中移除，或升级到 12 月 26 日之后发布的、确认已修复安全问题的安全版本。如果不确定扩展程序的发布者是否已获悉并修复了安全问题，最好卸载该扩展程序，重置重要的账户密码，清除浏览器数据，并将浏览器设置恢复到原始默认设置。