大量 Chrome 扩展程序遭黑客攻击，60万用户数据危险

一场新的大量攻击活动针对知名的Chrome浏览器扩展程序，导致至少16个扩展程序被入侵，扩展客攻超过60万用户面临数据泄露和凭证被盗的程序风险 。

此次攻击通过钓鱼活动针对Chrome Web Store上的遭黑浏览器扩展程序发布者
 ，并利用其访问权限在合法扩展程序中插入恶意代码，击万以窃取用户的用户Cookie和访问令牌
。

已知首个被曝光的数据企业是网络安全公司Cyberhaven 。源码下载12月27日
，危险Cyberhaven披露称，大量威胁行为者入侵了其浏览器扩展程序 ，扩展客攻并注入了恶意代码 ，程序与位于域名cyberhavenext[.]pro的遭黑外部命令与控制（C&C）服务器通信 ，下载额外的击万配置文件并窃取用户数据 。

专注于浏览器扩展安全的用户LayerX Security公司CEO Or Eshed表示 ：“浏览器扩展是网络安全的软肋。尽管我们倾向于认为浏览器扩展是云计算数据无害的 ，但实际上 ，它们通常被授予访问敏感用户信息的广泛权限
，例如Cookie、访问令牌、身份信息等。”

Eshed补充道：“许多组织甚至不知道他们的终端上安装了哪些扩展程序 ，也不清楚其暴露的程度。”

在Cyberhaven被入侵的模板下载消息曝光后，其他同样被入侵并与同一C&C服务器通信的扩展程序也迅速被识别出来。SaaS安全公司Nudge Security的CTO Jamie Blasco发现了其他解析到与Cyberhaven入侵事件中使用的C&C服务器相同IP地址的域名 。

目前怀疑被入侵的其他浏览器扩展程序包括：

AI Assistant - ChatGPT and Gemini for ChromeBard AI Chat ExtensionGPT 4 Summary with OpenAISearch Copilot AI Assistant for ChromeTinaMInd AI AssistantWayin AIVPNCityInternxt VPNVindoz Flex Video RecorderVidHelper Video DownloaderBookmark Favicon ChangerCastorusUvoiceReader ModeParrot TalksPrimus

这些被入侵的扩展程序表明 
，Cyberhaven并非孤立的目标，而是香港云服务器一场针对合法浏览器扩展程序的大规模攻击活动的一部分 。

对Cyberhaven被入侵事件的分析显示，恶意代码主要针对Facebook账户的身份数据和访问令牌，特别是Facebook商业账户。

Cyberhaven表示 ，恶意版本的浏览器扩展程序在上线约24小时后被移除。其他一些被曝光的服务器租用扩展程序也已更新或从Chrome Web Store中移除。

然而，Or Eshed指出，扩展程序从Chrome商店中移除并不意味着风险已经结束 。“只要被入侵的扩展程序版本仍在终端上运行，黑客仍然可以访问并窃取数据。”

安全研究人员正在继续寻找其他被曝光的扩展程序 ，但此次攻击活动的复杂性和范围已使许多组织更加重视保护其浏览器扩展程序的安全性  。

源码库