HackerNews 编译,转载请注明出处:
近期,一场针对Chrome浏览器扩展的新型攻击活动曝光,至少有16款扩展被攻破,导致超过60万用户的敏感数据和凭据泄露。
此次攻击通过钓鱼手段,瞄准了Chrome Web Store上的扩展发布者,利用他们的访问权限,在合法扩展中植入恶意代码,以窃取用户的Cookie和访问令牌。
首个确认受影响的公司是网络安全企业Cyberhaven。12月27日,Cyberhaven透露其浏览器扩展遭到威胁行为者的攻击,恶意代码被注入,与位于cyberhavenext[.]pro的外部指挥控制(C&C)服务器通信,下载额外配置文件并窃取用户数据。
LayerX Security公司CEO Or Eshed指出,浏览器扩展是网络安全中的薄弱环节。尽管通常认为扩展无害,但它们往往拥有广泛权限,能访问用户的敏感信息,如Cookie、访问令牌和身份信息。
许多组织对其终端安装的扩展及潜在风险缺乏了解。随着Cyberhaven漏洞事件的曝光,与同一C&C服务器通信的其他受攻击扩展也被迅速识别。
Nudge Security公司首席技术官Jamie Blasco进一步发现了指向C&C服务器同一IP地址的其他域名。
目前,疑似被攻破的扩展包括但不限于:
- AI Assistant – ChatGPT和Gemini for ChromeBard AI Chat ExtensionGPT 4 Summary with OpenAISearch Copilot AI Assistant for ChromeTinaMind AI AssistantWayin AIVPNCityInternxt VPNVindoz Flex Video RecorderVidHelper Video DownloaderBookmark Favicon ChangerCastorusUvoiceReader ModeParrot TalksPrimus
这些扩展的受感染情况表明,Cyberhaven并非唯一目标,此次攻击是一次针对合法浏览器扩展的大规模活动。
分析显示,被攻破的Cyberhaven扩展中的恶意代码主要针对Facebook账户的身份数据和访问令牌,特别是商业账户。
Cyberhaven表示,恶意版本扩展在上线约24小时后已被移除,部分其他受影响扩展也已从Chrome Web Store更新或下架。
然而,LayerX的Or Eshed警告,即使扩展从商店下架,只要受感染版本仍在用户设备上运行,攻击者仍可访问并窃取数据。
安全研究人员正继续寻找更多受影响的扩展,但此次攻击活动的复杂性和规模已给许多组织敲响了保护浏览器扩展安全的警钟。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
