Chrome擴展遭襲，多款熱門插件含惡意代碼泄露用戶數(shù)據(jù)

近期，網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了一起重大事件，涉及多個知名的Chrome擴展程序。據(jù)報道，至少五款Chrome擴展程序在同一時間段內(nèi)遭受了協(xié)同攻擊，攻擊者通過在這些擴展程序中注入惡意代碼，意圖竊取用戶的敏感信息。

事件的起因可以追溯到12月24日，數(shù)據(jù)丟失防護公司Cyberhaven率先披露了其擴展程序遭到入侵的消息。據(jù)透露，Cyberhaven在Google Chrome商店的管理賬戶遭遇了成功的網(wǎng)絡(luò)釣魚攻擊，導(dǎo)致攻擊者得以劫持其員工的賬戶，并發(fā)布了惡意版本的Cyberhaven擴展程序。該惡意版本（版本號24.10.4）包含了可將用戶的已驗證會話和cookie數(shù)據(jù)泄露到攻擊者控制的域名（cyberhavenext[.]pro）的代碼。

Cyberhaven的客戶名單中不乏知名企業(yè)，包括Snowflake、摩托羅拉、佳能、Reddit等。在得知擴展程序被篡改后，Cyberhaven迅速采取行動，其內(nèi)部安全團隊在檢測到惡意程序后一小時內(nèi)就將其從Chrome商店下架，并發(fā)布了干凈版本的擴展程序（版本號24.10.5）。為了保障用戶安全，Cyberhaven還建議用戶撤銷所有非FIDOv2的密碼，輪換所有API令牌，并檢查瀏覽器日志以評估是否存在惡意活動。

然而，這起事件并未就此結(jié)束。在Cyberhaven披露事件后，Nudge Security的研究員Jaime Blasco進行了深入調(diào)查。他根據(jù)攻擊者的IP地址和注冊域名，發(fā)現(xiàn)用于讓擴展程序接收攻擊者指令的惡意代碼片段也在同一時間段被注入到其他四款Chrome擴展程序中，這些擴展程序包括Uvoice、ParrotTalks等。Blasco還發(fā)現(xiàn)了指向其他潛在受害者的更多域名，但經(jīng)過確認，只有以上四款擴展程序被注入了惡意代碼片段。

面對這一嚴(yán)峻形勢，網(wǎng)絡(luò)安全專家強烈建議用戶立即采取行動。對于已經(jīng)安裝了這些受影響的擴展程序的用戶，他們應(yīng)該盡快將這些擴展程序從瀏覽器中移除，或者升級到12月26日之后發(fā)布的、確認已修復(fù)安全問題的安全版本。如果用戶不確定擴展程序的發(fā)布者是否已獲悉并修復(fù)了安全問題，那么為了安全起見，最好卸載該擴展程序，并重置重要的賬戶密碼、清除瀏覽器數(shù)據(jù)，將瀏覽器設(shè)置恢復(fù)到原始默認設(shè)置。