我使用的是旧版本V2，逃过一劫。有点没看懂，被攻击的公司Cyberhaven和Proxy SwitchyOmega(v3)有什么关系？这都能影响到？

v3版本还没有解决更新问题。

当网络安全公司沦为传播恶意软件的工具，会发生什么？

你是否曾经想过，当一家网络安全公司变成传播恶意软件的工具时会发生什么？上周三，网络安全公司 Cyberhaven 就遭遇了这样的事件，其Chrome扩展程序中的恶意代码感染了40万用户。

事件实时追踪：https://www.extensiontotal.com/cyberhaven-incident-live

Cyberhaven是数据泄露防护（DLP）领域的一家新兴企业，专门开发防止组织敏感数据泄露的工具。他们提供的Chrome扩展程序可以阻止用户在未经授权的平台（如ChatGPT或Facebook）上输入组织的敏感信息。近期，该公司发展势头良好，在最新一轮融资中筹集了8800万美元。

事件时间线

在平安夜那天晚上，Cyberhaven的管理员收到了一封令人不安的邮件——声称他们的Chrome扩展程序违反了谷歌的政策，面临被下架的风险。对Cyberhaven这样的公司来说，从Chrome网上应用店下架将是毁灭性的打击。然而，这封邮件实际上是一个精心设计的网络钓鱼骗局。

当管理员点击邮件中的链接后，被引导到一个谷歌授权界面，要求为名为"Privacy Policy Extension"的OAuth应用程序授权。这个应用实际上是攻击者控制的工具。通过授权，管理员在不知情的情况下，将更新Cyberhaven Chrome扩展程序的权限交给了攻击者。

获得上传新版本的权限后，攻击者立即发布了一个带有恶意代码的Cyberhaven Chrome扩展程序版本。尽管谷歌声称会对每个新版本进行安全检查和扫描，但这个包含恶意代码的新版本还是在周三早上（2024年12月25日）很快就发布了。

需要注意的是，浏览器扩展程序会自动更新。这意味着一旦恶意版本发布，它就会自动推送给近40万Cyberhaven用户。这个后果相当严重。

恶意代码的作用是什么？

分析显示，这段代码旨在窃取用户的密码、cookie以及其他可能导致账号被接管的信息。

在恶意版本发布数小时后，Cyberhaven的安全团队发现了这次攻击并采取行动移除恶意代码。周五，公司发布了关于这次破坏事件的声明，在网络安全行业引起了轩然大波。但故事并未就此结束。在声明发布后，进一步的调查发现数十个流行的扩展程序都含有相同的恶意代码。看来这次攻击活动也成功地针对了其他Chrome扩展程序的开发者。

目前估计，通过VPNCity、Reader Mode等扩展程序，已有超过一百万台计算机被恶意代码感染。调查仍在进行中，到目前为止已发现16个Chrome扩展程序遭到类似的攻击。文章底部附有威胁指标（IOCs）。

我们能做什么？

首先，我们强烈建议确保你的环境没有被感染，你可以利用下面提到的威胁指标。

即使我们信任某个扩展程序的开发者，也必须谨记每个新版本可能与之前的版本完全不同。一旦扩展程序开发者被攻破，用户几乎会立即受到影响。

另外，ExtensionTotal观察到这类攻击在许多类似的软件生态系统中都会发生，比如其他浏览器扩展（Edge、Safari、Firefox）、IDE扩展（Visual Studio Code、JetBrains）和代码包（NPM、Pypi）。

更新 2024年12月30日 13:03 UTC

ExtensionTotal又发现了3个恶意Chrome扩展程序，用户量达12万，这些扩展程序都是同一个攻击活动的一部分，调查仍在继续。

我们创建了一个实时更新页面，你可以在这里了解最新情况 —

https://www.extensiontotal.com/cyberhaven-incident-live

更新 2024年12月31日 6:13 UTC

又发现了多个包含恶意代码的受感染Chrome扩展程序，建议通过事件页面保持关注最新动态。

威胁指标（IOCs）

我们已将威胁指标更新转移到实时事件页面，你可以访问这里

• https://www.extensiontotal.com/cyberhaven-incident-live

特别感谢黑鸟的情报。