黑客攻击导致至少16个Chrome浏览器扩展程序被入侵，影响超过60万用户

近期，一起重大的供应链攻击事件导致至少16个Chrome浏览器扩展程序被黑客入侵，暴露了超过60万用户的数据。攻击者通过钓鱼信息针对Chrome网上应用店的扩展程序发布者，一旦获得账户访问权限，便在扩展程序代码中植入恶意代码。

在这次复杂的攻击活动中，黑客通过精心设计的网络钓鱼邮件，冒充Chrome网上应用店官方通信，诱骗扩展程序开发人员授予恶意应用程序访问其账户的权限。这些邮件营造紧迫感，要求开发人员点击链接以接受政策许可，进而引导他们至一个伪造的Google登录页面，并要求授权名为“Privacy Policy Extension”的恶意OAuth应用，从而控制开发者账户。获取账户控制权后，攻击者向扩展程序注入名为“worker.js”和“content.js”的恶意文件，这些文件包含窃取Facebook账户数据的代码。这两个文件是恶意程序的关键组成部分，worker.js负责联系一个硬编码的命令与控制(C&C)服务器，下载配置并执行HTTP调用；而content.js则负责从目标网站收集用户数据，并将其泄露到C&C有效载荷中指定的恶意域名。

研究人员进一步调查了此次攻击，并发现其他Chrome浏览器扩展程序也受到了影响，包括但不限于：

• AI Assistant – ChatGPT和Gemini for Chrome
• Bard AI Chat
• GPT 4 Summary with OpenAI
• Search Copilot AI Assistant for Chrome
• TinaMInd AI Assistant
• Wayin AI
• VPNCity
• Internxt VPN
• Vindoz Flex Video Recorder
• VidHelper Video Downloader
• Bookmark Favicon Changer
• Castorus
• Uvoice
• Reader Mode
• Parrot Talks
• Primus
• Tackker
• AI Shop Buddy
• Sort by Oldest
• Rewards Search Automator
• ChatGPT Assistant – Smart Search
• Keyboard History Recorder
• Email Hunter
• Visual Effects for Google Meet
• Earny

此次攻击事件再次提醒用户和开发者，网络安全的重要性不容忽视。用户应保持警惕，定期更新和审查安装的扩展程序，而开发者则需加强安全措施，防止账户和代码被恶意攻击者利用。根据目前的初步研究，这是一次非针对性攻击，是针对Facebook广告用户的更广泛活动的一部分。

原文始发于微信公众号（白泽安全实验室）：黑客攻击导致至少16个Chrome浏览器扩展程序被入侵，影响超过60万用户