网络安全研究人员发现了数十起涉及 Chrome 浏览器扩展恶意更新的攻击事件,而一周前一家安全公司也在类似事件中遭到入侵。根据 ExtensionTotal 的报告,截至本周三,共检测到 36 个 Chrome 浏览器扩展程序注入了数据窃取代码,其中大部分与人工智能(AI)工具和虚拟专用网络(VPN)有关。这些扩展总共有大约 260 万人使用,其中包括第三方工具,如 Google Meet 的 ChatGPT、Bard AI Chat、YesCaptcha Assistant、VPNCity 和 Internxt VPN。根据 ExtensionTotal 的分析,一些受影响的公司已经通过从商店中删除受影响的扩展或更新它们来解决这个问题。在上周针对安全公司 Cyberhaven 的事件中,一个身份不明的威胁行为者通过钓鱼邮件入侵了该初创公司的一个管理账户。攻击者因此得以发布包含恶意代码的新版扩展。钓鱼邮件谎称 Cyberhaven 的扩展违反了谷歌的政策,有可能从 Chrome 网上商城下架。根据 Cyberhaven 对该事件的分析,该活动的主要目标是针对 Facebook Ads 账户,获取受害者的访问令牌、用户 ID 以及业务和广告账户信息。随后的报告显示,其他开发人员发现了更多可供滥用的扩展,该活动也源自类似的钓鱼邮件。一位开发者在谷歌群组论坛上写道:“这封邮件中的链接看起来像网络商店,但却指向一个钓鱼网站,目的是控制你的 Chrome 扩展程序,并可能用恶意软件对其进行更新。”安全研究员约翰-塔克纳(John Tuckner)早些时候报告说,该活动涉及至少 29 个 Chrome 浏览器扩展,可能影响 250 多万用户。塔克纳称,其中一些扩展可能针对银行平台和其他应用程序的敏感信息。目前还不清楚所有被攻击的扩展是否都与同一个威胁行为者有关。截至发稿时,谷歌没有回应置评请求。安全研究人员警告说,浏览器扩展 “不能掉以轻心”,因为它们可以深入访问浏览器数据,包括经过验证的会话和敏感信息。扩展程序也很容易更新,通常不会像传统软件那样受到严格审查。ExtensionTotal 建议企业只使用预先批准的扩展版本,并确保它们保持不变,防止恶意自动更新。研究人员说:“即使我们信任扩展程序的开发者,也必须记住,每个版本都可能与之前的版本完全不同。“如果扩展程序开发者受到威胁,用户几乎也会立即受到威胁。”
