HackerNews 编译,转载请注明出处:
一项新发现的网络安全威胁显示,至少 320 万用户受到伪装成合法工具的恶意浏览器扩展的影响。16 个扩展(从屏幕截图工具到广告拦截器和表情键盘)被发现向用户的浏览器注入恶意代码。根据 GitLab 威胁情报,这些扩展促进了广告欺诈和搜索引擎优化(SEO)操纵,同时对数据泄露和进一步网络入侵的潜在初始访问构成了重大风险。
威胁行为者采用的攻击链是多阶段且高度复杂的,旨在规避检测的同时破坏浏览器安全。GitLab 的报告指出:“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性,然后注入内容,穿越浏览器安全边界并将恶意代码隐藏在扩展之外。”
攻击似乎始于 2024 年 7 月,威胁行为者获取了合法扩展的访问权限,而不是直接破坏它们。报告暗示,原始开发者可能在不知情的情况下将扩展的所有权转让给了攻击者,为恶意更新提供了直接路径。
到 2024 年 12 月,攻击升级为供应链入侵,涉及对开发者账户的网络钓鱼攻击,允许攻击者通过 Chrome 网上应用店推送恶意更新。这些更新引入了窃取 HTTP 头数据和 DOM 内容的脚本,利用远程存储的动态配置。
虽然这些扩展提供了其宣传的功能,但它们嵌入了一个通用的恶意框架。GitLab 的调查发现了服务工作线程功能的一致性,包括:
- 安装时进行配置检查,将扩展版本和唯一 ID 传输到远程服务器。修改浏览器安全策略,特别是从每个会话访问的前 2000 个网站中删除内容安全策略(CSP)头。持续的心跳信号以刷新配置数据并保持与攻击者命令与控制(C2)基础设施的连接。
GitLab 警告称,删除 CSP 会显著削弱浏览器安全,使用户容易受到跨站脚本(XSS)攻击和其他注入式利用。
“这一例程完全删除了恶意扩展用户的 Content Security Policy 保护。Content Security Policy 在防止 Cross Site Scripting 攻击方面发挥着重要作用,扩展在未经用户同意的情况下降低这种保护,明显违反了 Chrome 网上应用店程序政策,”报告警告说。
对恶意扩展基础设施的分析显示了一个专用配置服务器网络,每个服务器都与特定扩展相关联。例如:
| 扩展名称 | 配置服务器 |
| Blipshot | blipshotextension[.]com |
| Emojis Keyboard | emojikeyboardextension[.]com |
| Nimble Capture | api.nimblecapture[.]com |
| Adblocker for Chrome | abfc-extension[.]com |
| KProxy | kproxyservers[.]site |
这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的 Apps Platform,并使用一致的 x-do-app-origin 头,表明攻击者通过单一基于云的应用程序部署了所有配置。
此外,与攻击相关的脚本也被发现在针对组织的网络钓鱼工具包中嵌入,这表明攻击者与参与凭证盗窃活动的网络入侵行为者之间可能存在联系。
攻击者通过动态脚本注入确保了长期持久性。rcx-cd-v3.js 有效载荷使用了高级 JavaScript 混淆技术在浏览器中执行代码。这一有效载荷使得网络请求的修改成为可能,包括:
- 通过在服务工作线程中执行请求来绕过 CORS 限制。修改广告拦截规则,允许广告域的同时阻止微软的跟踪服务。向访问欧洲地区亚马逊产品页面的受害者注入带有恶意内容的 iframe 和后台标签。
GitLab 的研究人员怀疑,这些活动支持点击欺诈活动、SEO 操纵,甚至可能涉及敏感数据盗窃。
谷歌在 2025 年 1 月接到通知,并已从 Chrome 网上应用店中移除了所有已识别的恶意扩展。然而,从应用店中移除并不会触发自动卸载。之前安装了这些扩展的用户必须手动从浏览器中删除它们。
消息来源:Security Online;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
