一个新的攻击活动以已知的 Chrome 浏览器扩展为目标，导致至少 16 个扩展被入侵，超过 60 万用户的数据被暴露和凭证被盗。

这次攻击通过网络钓鱼活动锁定了 Chrome 网上商城的浏览器扩展发布者，并利用他们的访问权限在合法扩展中插入恶意代码，以窃取 cookie 和用户访问令牌。

第一家被曝光的公司是网络安全公司 Cyberhaven。

12 月 27 日，Cyberhaven 披露，一名威胁行为者入侵了其浏览器扩展，并注入恶意代码与位于 cyberhavenext[.]pro 域的外部命令与控制 (C&C) 服务器通信，下载额外的配置文件并外泄用户数据。

专门从事浏览器扩展安全的 LayerX Security 公司首席执行官 Or Eshed 说：“浏览器扩展是网络安全的软肋。尽管我们倾向于认为浏览器扩展是无害的，但实际上，它们经常被授予大量权限，以获取敏感的用户信息，如 cookie、访问令牌、身份信息等。”

Eshed说：“许多企业甚至不知道自己的终端上安装了哪些扩展程序，也不知道它们的暴露程度。”

Cyberhaven 遭到入侵的消息一经传出，很快就发现了其他同样遭到入侵并与同一 C&C 服务器通信的扩展程序。

SaaS 安全公司 Nudge Security 的首席技术官杰米-布拉斯科（Jamie Blasco）发现，还有一些域名解析到了用于 Cyberhaven 入侵的 C&C 服务器的相同 IP 地址。

目前怀疑被入侵的其他浏览器扩展包括：

人工智能助手 – Chrome 浏览器的 ChatGPT 和 Gemini
巴德人工智能聊天扩展
带有 OpenAI 的 GPT 4 摘要
用于 Chrome 浏览器的 Search Copilot AI 助手
TinaMInd AI 助手
Wayin AI
VPNCity
Internxt VPN
Vindoz Flex 视频录制器
VidHelper 视频下载器
书签图标更换器
Castorus
Uvoice
阅读模式
鹦鹉说话
Primus

这些被入侵的扩展程序表明，Cyberhaven 并非一次性目标，而是针对合法浏览器扩展程序的大规模攻击活动的一部分。

对被入侵的 Cyberhaven 的分析表明，恶意代码的目标是 Facebook 账户，特别是 Facebook 商业账户的身份数据和访问令牌：

被入侵的 Cyberhaven 浏览器扩展收集的用户数据（来源：Cyberhaven）

Cyberhaven 表示，恶意版本的浏览器扩展在上线约 24 小时后被删除。其他一些被曝光的扩展也已经更新或从 Chrome 网上商城删除。

然而，Or Eshed 表示，该扩展从 Chrome 浏览器商店删除并不意味着暴露已经结束。他说：“只要被入侵的扩展版本仍然存在于终端上，黑客就仍然可以访问它并渗出数据。”

安全研究人员正在继续寻找更多被暴露的扩展程序，但这次攻击活动的复杂程度和范围已经提高了许多组织保护其浏览器扩展程序安全的要求。

文章原文链接:https://www.anquanke.com/post/id/303104