16 个 Chrome 扩展程序遭黑客攻击，超过 60 万用户数据遭窃

新的攻击活动针对已知的 Chrome 浏览器扩展程序，导致至少 16 个扩展程序受到攻击，并导致超过 600,000 名用户面临数据泄露和凭证盗窃的风险。

此次攻击通过网络钓鱼活动瞄准了 Chrome 网上应用店中的浏览器扩展程序发布者，并利用他们的访问权限将恶意代码插入合法扩展程序中，以窃取 cookie 和用户访问令牌。

第一家成为该活动受害者的公司是网络安全公司 Cyberhaven，该公司的一名员工于 12 月 24 日成为网络钓鱼攻击的目标，威胁行为者借此发布了该扩展的恶意版本。

12 月 27 日，Cyberhaven披露，一名威胁行为者入侵了其浏览器扩展程序并注入恶意代码，以便与位于域 cyberhavenext[.]pro 上的外部命令和控制 (C&C) 服务器进行通信，下载其他配置文件并窃取用户数据。

该钓鱼电子邮件声称来自 Google Chrome 网上应用店开发者支持，试图通过声称他们的扩展程序因违反开发者计划政策而面临从扩展程序商店中删除的风险，从而引起一种虚假的紧迫感。

它还敦促收件人点击链接接受政策，然后他们被重定向到一个名为“隐私政策扩展”的恶意 OAuth 应用程序授予权限的页面。

Cyberhaven表示：“攻击者通过恶意应用程序（‘隐私政策扩展程序’）获得必要的权限，并将恶意 Chrome 扩展程序上传到 Chrome 网上应用店。经过常规的 Chrome 网上应用店安全审查流程后，该恶意扩展程序获准发布。”

“浏览器扩展是网络安全的软肋，”专门从事浏览器扩展安全研究的LayerX Security首席执行官 Or Eshed 表示。“尽管我们倾向于认为浏览器扩展是无害的，但实际上，它们经常被授予大量权限，可以访问敏感用户信息，例如 cookie、访问令牌、身份信息等。

Eshed 说：“许多组织甚至不知道他们在端点上安装了什么扩展，也不知道他们的暴露程度。”

Cyberhaven 遭入侵的消息一经爆出，很快就发现了其他同样遭入侵并与同一 C＆C 服务器通信的扩展程序。

SaaS 安全公司 Nudge Security 的首席技术官 Jamie Blasco确定了其他域名，这些域名解析到 Cyberhaven 漏洞所使用的 C＆C 服务器的同一 IP 地址。

据浏览器扩展安全平台Secure Annex称，进一步调查发现更多扩展程序[Google Sheets] 疑似遭到入侵：

• AI 助手 - Chrome 版 ChatGPT 和 Gemini

• Bard AI 聊天扩展

• OpenAI 的 GPT 4 总结

• 搜索 Chrome 版 Copilot AI Assistant

• TinaMInd 人工智能助手

• 慧影人工智能

• VPN城

• Internxt VPN

• Vindoz Flex 视频录像机

• VidHelper视频下载

• 书签图标更换器

• 蓖麻属

• 优音

• 阅读器模式

• 鹦鹉讲座

• 普里默斯

• Tapker - 在线键盘记录工具

• 人工智能购物伙伴

• 按最旧排序

• 奖励搜索自动化程序

• ChatGPT 助手 - 智能搜索

• 键盘历史记录器

• 电子邮件猎人

• Google Meet 的视觉效果

• Earny - 高达 20% 现金返还

这些额外受损的扩展程序表明 Cyberhaven 并不是一次性目标，而是针对合法浏览器扩展程序的大规模攻击活动的一部分。

Secure Annex 的创始人 John Tuckner 告诉 The Hacker News，该活动可能自 2023 年 4 月 5 日就开始了，而且根据所用域名的注册日期，可能还会持续更长时间：nagofsg[.]com 注册于 2022 年 8 月，sclpfybn[.]com 注册于 2021 年 7 月。

“我将 Cyberhaven 攻击中出现的相同代码与名为‘阅读器模式’的扩展中的相关代码（假设为 Code1）联系起来，”塔克纳说。“‘阅读器模式’中的代码包含 Cyberhaven 攻击代码（Code1）和额外的入侵指标“sclpfybn[.]com”，以及其自己的附加代码（Code2）。”

“通过对该域名的搜索，我发现了七个新扩展。其中一个相关扩展名为“Rewards Search Automator”，其 (Code2) 伪装成“安全浏览”功能，但却在窃取数据。”

“‘Rewards Search Automator’ 还包含一个被掩盖的‘电子商务’功能（Code3），其新域名为‘tnagofsg[.]com’，其功能与‘安全浏览’极为相似。进一步搜索这个域名后，我发现‘Earny - 最高 20% 现金返还’，其中仍然有‘电子商务’代码（Code3），最后更新时间为 2023 年 4 月 5 日。”

对受感染 Cyberhaven 的分析表明，恶意代码针对的是 Facebook 账户的身份数据和访问令牌，特别是 Facebook 商业账户：

Cyberhaven 表示，该浏览器扩展的恶意版本在上线后约 24 小时就被删除。其他一些暴露的扩展也已更新或从 Chrome 网上应用店中删除。

然而，Or Eshed 表示，该扩展程序从 Chrome 商店中删除并不意味着暴露已经结束。“只要受感染的扩展程序版本仍在终端上运行，黑客仍然可以访问它并窃取数据，”他说。

安全研究人员正在继续寻找其他暴露的扩展，但这次攻击活动的复杂性和范围已经提高了许多组织对其浏览器扩展保护的赌注。

目前尚不清楚谁是此次活动的幕后黑手，以及这些攻击是否相关。Hacker News 已联系 Google 寻求进一步评论，如果收到回复，我们将更新该报道。

信息来源：ThehackerNews

原文始发于微信公众号（犀牛安全）：16 个 Chrome 扩展程序遭黑客攻击，超过 60 万用户数据遭窃