Chrome 安全擴充功能遭駭客攻擊，竊取用戶數據

至少有五個 Chrome 擴充功能在一次協同攻擊中遭到入侵，威脅行為者成功注入了竊取使用者敏感資訊的程式碼。

這是 Cyber​​haven 的網路安全專家提供的資訊。這家總部位於美國的資料安全公司向其客戶發出了警告，稱 12 月 24 日發生了一起入侵事件，此前，該公司在 Google Chrome 商店的管理員帳戶遭到了成功的網路釣魚活動。

Cyber​​haven 的客戶包括 Snowflake、摩托羅拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS、Upstart 和 Kirkland & Ellis 等知名品牌。

駭客接管了員工帳戶並發布了 Cyber​​haven 擴充功能的惡意版本 (24.10.4)，其中包含可以竊取攻擊者網域 (cyberhavenext[.]pro) 的經過驗證的會話和 cookie 的程式碼。

Cyber​​haven 公司在給客戶的電子郵件中表示，Cyber​​haven 的內部安全團隊在檢測到惡意軟體包後一小時內就將其刪除。

該擴充功能的純淨版本是 12 月 26 日發布的 v24.10.5。除了升級到最新版本之外，還建議 Cyber​​haven Chrome 擴充功能使用者撤銷非 FIDOv2 密碼、更改所有 API 令牌，並查看瀏覽器日誌以評估是否有惡意活動。

許多 Chrome 擴充功能遭到駭客攻擊

在 Cyber​​haven 披露之後，Nudge Security 研究員 Jaime Blasco 進行了更深入的調查，從攻擊者的 IP 位址和註冊網域進行重定向。

據 Blasco 稱，允許該擴充功能接收攻擊者命令的惡意程式碼也同時被注入到其他 Chrome 擴充功能中：

• Internxt VPN – 免費、加密、無限的 VPN，用於安全的網頁瀏覽。 （10,000 名用戶）
• VPNCity－注重隱私的 VPN，具有 256 位元 AES 加密和全球伺服器覆蓋。 （50,000 名用戶）
• Uvoice－透過調查賺取積分並提供 PC 使用數據，基於獎勵的服務。 （40,000 名用戶）
• ParrotTalks－專門用於無縫文字和筆記記錄的資訊搜尋引擎。 （40,000 名用戶）
• Blasco 發現多個網域指向其他幾個潛在受害者，但到目前為止只有上述擴展名被確認包含惡意程式碼。

建議這些擴充功能的用戶立即將其從瀏覽器中刪除，或在確保發布者意識到安全問題並已修復後升級到 12 月 26 日之後發布的安全版本。

如果您不確定，最好卸載擴充功能，重設重要帳戶密碼，清除瀏覽器數據，並將瀏覽器設定重設為出廠預設值。