近期，Chrome浏览器扩展开发者遭遇了一起精心策划的钓鱼攻击，至少35个扩展程序被黑客入侵并植入恶意代码，影响用户高达260万。攻击者通过伪造的邮件，诱导开发者点击恶意链接，跳转至仿冒的Google登录页面，并诱骗他们授权一个名为“隐私政策扩展”的恶意OAuth应用。该应用获得权限后，黑客便可篡改扩展，植入窃取用户Facebook数据的恶意代码。即使开发者启用了多因素认证，也因OAuth授权流程的漏洞而未能幸免。攻击者主要目标是Facebook账户，窃取包括用户ID、访问令牌、账户信息以及广告账户等数据，甚至尝试绕过双因素认证。

⚠️ Chrome扩展开发者遭遇钓鱼攻击：至少35个扩展被入侵，影响用户高达260万。

✉️ 攻击手法：黑客发送伪装成Google官方的钓鱼邮件，诱导开发者点击恶意链接，并授权恶意OAuth应用“隐私政策扩展”。

🔒 OAuth授权漏洞：即使启用多因素认证，OAuth授权流程中的直接批准环节，无需额外验证，使得账户安全未能得到保障。

😈 恶意代码功能：被植入的恶意代码主要窃取Facebook账户数据，包括用户ID、访问令牌、广告账户信息等，并尝试绕过双因素认证。

📅 攻击时间线：攻击活动可能早在2024年3月就开始酝酿，但主要集中在11月和12月。

HackerNews 编译，转载请注明出处：

最新曝光的一起针对Chrome浏览器扩展开发者的钓鱼攻击事件显示，至少有35个扩展被黑客入侵并植入了数据窃取代码，其中包括网络安全公司Cyberhaven的扩展。这些受害扩展累计用户量约260万。

最初报道聚焦于Cyberhaven的安全扩展，但后续调查发现，同一恶意代码已渗透至35个扩展中。根据LinkedIn和Google Groups上受害开发者的反馈，攻击活动大约始于2024年12月5日，但BleepingComputer发现的相关子域名信息显示，攻击活动可能早在2024年3月就已开始酝酿。

“我只是想提醒大家注意一封比平常更为复杂的钓鱼邮件，邮件称我们违反了Chrome扩展政策，形式是：‘描述中有不必要的细节’。”该开发者在Google Group的Chromium扩展组发布了此信息。

“邮件中的链接看起来像是网页商店，但实际指向一个钓鱼网站，试图控制你的Chrome扩展，并可能将其更新为恶意软件。”

该攻击始于向Chrome扩展开发者直接发送的钓鱼邮件，或通过与其域名关联的支持邮箱发送。

根据BleepingComputer查看的邮件，以下域名被用于此次钓鱼攻击：

supportchromestore.comforextensions.comchromeforextension.com

这些钓鱼邮件伪装成来自Google，声称该扩展违反了Chrome Web Store的政策，面临被下架的风险。

“我们不允许具有误导性、格式差、描述不清、无关、过多或不当的元数据的扩展，包括但不限于扩展描述、开发者名称、标题、图标、截图和宣传图片。”钓鱼邮件中写道。

具体而言，扩展开发者被诱导认为其软件描述含有误导信息，并被要求确认遵守Chrome Web Store的政策。一旦开发者点击邮件中的“前往政策”链接以了解违规详情，他们会被重定向至Google域下的正规登录页面，但该页面实则用于一个恶意的OAuth应用。

此登录页面遵循Google的标准授权流程，本用于安全授权第三方应用访问Google账户资源。然而，攻击者在此平台上部署了一个名为“隐私政策扩展”的恶意OAuth应用，诱骗受害者授权其管理Chrome Web Store扩展的权限。

“当您允许此访问时，隐私政策扩展将能够：查看、编辑、更新或发布您可以访问的Chrome Web Store扩展、主题、应用程序和许可证。”OAuth授权页面上写道。

权限批准提示（来源：Cyberhaven）

尽管启用了多因素认证（MFA），但账户安全仍未能得到保障，因为OAuth授权流程中的直接批准环节无需额外验证，且默认用户充分知晓所授予的权限。

Cyberhaven在事后分析中指出：“一名员工按照标准流程操作，不慎授权了恶意第三方应用。”

该员工虽已启用Google高级保护并设有MFA，但在授权过程中未收到任何MFA提示，其Google凭证也未被泄露。

获得账户访问权后，攻击者篡改了扩展，植入了“worker.js”和“content.js”两个恶意文件，内含窃取Facebook账户数据的代码。随后，这些被劫持的扩展以“新版本”的形式被发布到Chrome Web Store上。

尽管Extension Total追踪了此次钓鱼活动影响的35个扩展，但来自攻击的IOCs显示，实际受影响的扩展数量要远远超过这个数字。

根据VirusTotal的数据，攻击者为目标扩展预先注册了域名，即便这些扩展的开发者没有上当。

尽管大多数域名是在11月和12月创建的，BleepingComputer发现攻击者早在2024年3月就开始测试这一攻击。

早期钓鱼活动中使用的子域名（来源：BleepingComputer）

对受损设备的分析显示，攻击者瞄准了使用中毒扩展的用户的Facebook账户。具体来说，窃取数据的代码试图抓取用户的Facebook ID、访问令牌、账户信息、广告账户信息和企业账户信息。

被劫持扩展窃取的Facebook数据（来源：Cyberhaven）

此外，恶意代码还在Facebook.com上设置了鼠标点击事件监听器，专门捕获与Facebook双因素认证（2FA）或验证码相关的二维码图像，企图绕过2FA保护，从而控制用户账户。

这些被窃取的信息，包括Facebook Cookies、用户代理字符串、Facebook ID以及监听到的鼠标点击事件，会被打包并传输至攻击者的指挥和控制（C2）服务器。

攻击者针对Facebook企业账户展开多种攻击手段，意图利用受害者的信用卡信息直接向其账户转账，或在社交平台上散布虚假信息、实施钓鱼活动，甚至将账户访问权限转售他人。

 

---

消息来源：Bleeping Computer, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文