近日,一场针对 Chrome 浏览器扩展程序的大规模攻击活动浮出水面,导致至少 16 个扩展程序被恶意代码感染,并使超过 600,000 名用户面临数据泄露和凭证盗窃的风险。
攻击背景
此次攻击通过精心设计的网络钓鱼活动瞄准了 Chrome 网上应用店中的扩展程序开发者。攻击者通过获取开发者的访问权限,将恶意代码植入合法的扩展程序中,从而实现窃取用户数据的目的。这些恶意代码能够窃取 cookie 和用户访问令牌,并与外部命令与控制 (C&C) 服务器通信。
第一家确认遭到攻击的公司是网络安全公司 Cyberhaven。12 月 27 日,Cyberhaven 披露其浏览器扩展程序被入侵,并注入了与域名 cyberhavenext[.]pro 上的 C&C 服务器通信的恶意代码。攻击者利用这一代码下载额外的配置文件,并窃取用户数据。
浏览器扩展的安全隐患
LayerX Security 的首席执行官 Or Eshed 指出,浏览器扩展程序常被视为网络安全的软肋。尽管它们看似无害,但实际上经常被授予访问敏感用户信息的权限,例如 cookie、访问令牌和身份信息等。他强调,许多组织甚至不知道他们的端点设备上安装了哪些扩展程序,也不了解由此带来的潜在风险。
更多受影响的扩展程序
Cyberhaven 的入侵事件揭露后,更多受感染的扩展程序被发现。这些扩展程序与相同的 C&C 服务器通信,包括但不限于以下列表:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMind AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
这些扩展程序的受损情况表明,这次攻击活动并非孤立事件,而是针对合法浏览器扩展程序的系统性攻击。
恶意代码的目标
对 Cyberhaven 受感染扩展程序的分析显示,恶意代码主要针对 Facebook 账户的身份数据和访问令牌,特别是 Facebook 商业账户。尽管受感染的扩展程序已在 24 小时内从 Chrome 网上应用店中删除,但 LayerX Security 的 Or Eshed 提醒,删除扩展程序并不意味着风险完全解除。
用户和开发者的应对措施
- 用户措施:
- 定期检查已安装的浏览器扩展程序,移除不必要或不可信的扩展。
- 监控在线账户活动,特别是与商业用途相关的账户,发现异常及时更改密码。
- 启用双因素身份验证(2FA)以提高账户安全性。
- 开发者措施:
- 启用强身份验证和定期更改开发者账户密码。
- 对代码进行安全审计,防止恶意代码注入。
- 监控扩展程序的更新状态,及时响应用户反馈。
总结
此次针对 Chrome 浏览器扩展程序的大规模攻击提醒我们,无论是个人用户还是组织,都需加强对浏览器扩展程序的管理和安全意识。对于开发者来说,保护开发者账户的安全是防止攻击的第一步。而对于用户来说,定期清理和监控扩展程序,是减少数据泄露风险的关键措施。
通过提高对浏览器扩展程序安全性的关注,我们可以共同减少这类攻击的影响,并保护用户数据免遭泄露。
