Chrome擴(kuò)展遭襲，多款熱門(mén)插件含惡意代碼泄露用戶數(shù)據(jù)

近期，網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了一起重大事件，涉及多個(gè)知名的Chrome擴(kuò)展程序。據(jù)報(bào)道，至少五款Chrome擴(kuò)展程序在同一時(shí)間段內(nèi)遭受了協(xié)同攻擊，攻擊者通過(guò)在這些擴(kuò)展程序中注入惡意代碼，意圖竊取用戶的敏感信息。

事件的起因可以追溯到12月24日，數(shù)據(jù)丟失防護(hù)公司Cyberhaven率先披露了其擴(kuò)展程序遭到入侵的消息。據(jù)透露，Cyberhaven在Google Chrome商店的管理賬戶遭遇了成功的網(wǎng)絡(luò)釣魚(yú)攻擊，導(dǎo)致攻擊者得以劫持其員工的賬戶，并發(fā)布了惡意版本的Cyberhaven擴(kuò)展程序。該惡意版本（版本號(hào)24.10.4）包含了可將用戶的已驗(yàn)證會(huì)話和cookie數(shù)據(jù)泄露到攻擊者控制的域名（cyberhavenext[.]pro）的代碼。

Cyberhaven的客戶名單中不乏知名企業(yè)，包括Snowflake、摩托羅拉、佳能、Reddit等。在得知擴(kuò)展程序被篡改后，Cyberhaven迅速采取行動(dòng)，其內(nèi)部安全團(tuán)隊(duì)在檢測(cè)到惡意程序后一小時(shí)內(nèi)就將其從Chrome商店下架，并發(fā)布了干凈版本的擴(kuò)展程序（版本號(hào)24.10.5）。為了保障用戶安全，Cyberhaven還建議用戶撤銷(xiāo)所有非FIDOv2的密碼，輪換所有API令牌，并檢查瀏覽器日志以評(píng)估是否存在惡意活動(dòng)。

然而，這起事件并未就此結(jié)束。在Cyberhaven披露事件后，Nudge Security的研究員Jaime Blasco進(jìn)行了深入調(diào)查。他根據(jù)攻擊者的IP地址和注冊(cè)域名，發(fā)現(xiàn)用于讓擴(kuò)展程序接收攻擊者指令的惡意代碼片段也在同一時(shí)間段被注入到其他四款Chrome擴(kuò)展程序中，這些擴(kuò)展程序包括Uvoice、ParrotTalks等。Blasco還發(fā)現(xiàn)了指向其他潛在受害者的更多域名，但經(jīng)過(guò)確認(rèn)，只有以上四款擴(kuò)展程序被注入了惡意代碼片段。

面對(duì)這一嚴(yán)峻形勢(shì)，網(wǎng)絡(luò)安全專(zhuān)家強(qiáng)烈建議用戶立即采取行動(dòng)。對(duì)于已經(jīng)安裝了這些受影響的擴(kuò)展程序的用戶，他們應(yīng)該盡快將這些擴(kuò)展程序從瀏覽器中移除，或者升級(jí)到12月26日之后發(fā)布的、確認(rèn)已修復(fù)安全問(wèn)題的安全版本。如果用戶不確定擴(kuò)展程序的發(fā)布者是否已獲悉并修復(fù)了安全問(wèn)題，那么為了安全起見(jiàn)，最好卸載該擴(kuò)展程序，并重置重要的賬戶密碼、清除瀏覽器數(shù)據(jù)，將瀏覽器設(shè)置恢復(fù)到原始默認(rèn)設(shè)置。