在由 Alon Klayman 和 Uri Kornitzer 领导的 Axon 团队的一份详细报告中,研究人员揭露了一个针对 Chrome 浏览器扩展开发人员的复杂活动。这次行动体现了网络威胁不断演变的本质,它将网络钓鱼、凭证窃取和恶意代码注入结合在一起,对开发人员和最终用户都造成了威胁。2024 年 12 月 24 日,专门从事安全浏览器扩展的网络安全公司 Cyberhaven 在 Chrome 网上商城披露了其 Chrome 扩展的篡改版本,该活动首次曝光。据 Cyberhaven 称,此次漏洞源于一次成功的网络钓鱼攻击,该攻击诱骗一名员工授予恶意 OAuth 同意,从而为攻击者提供了访问谷歌 Chrome 浏览器网络商店的权限。Axon团队的调查显示,被篡改的扩展包含恶意代码,可实现命令控制(C2)通信和凭证窃取。报告指出:“研究结果表明,针对 Chrome 浏览器扩展开发人员的这一威胁活动已持续了至少 7 个月,甚至更长时间。”进一步分析发现,这并非一起孤立事件。该活动针对多个 Chrome 浏览器扩展开发人员,使用了类似的网络钓鱼方法,导致至少另外 35 个扩展受到攻击,250 多万用户可能受到影响。令人震惊的是,攻击者在 2024 年 12 月 28 日注册了一个新的恶意域。恶意 OAuth 同意应用程序(来源:Cyberhaven)攻击始于据称来自谷歌的钓鱼邮件,谎称收件人的扩展违反了 Chrome Web Store 政策。开发人员会被重定向到一个虚假的 OAuth 同意页面,在那里他们会被诱骗向恶意应用程序授予权限。这些权限允许攻击者篡改 Chrome 扩展,注入恶意代码,目的是建立 C2 通信。窃取敏感数据,包括 cookie。报告解释说:“这种针对性极强的请求看似合法,因为它只关注与 Chrome 浏览器扩展相关的活动。”Axon 团队发现了与此活动相关的 90 多个恶意域和 30 个 IP 地址。为了帮助检测和响应工作,报告中包含了量身定制的威胁猎取查询和 IOC,使安全团队能够发现其基础架构中的相关威胁。报告最后紧急呼吁各组织迅速采取行动。Team Axon警告说:“这凸显了企业迅速采取行动并部署检测和缓解措施的紧迫性。”
