ITCOW牛新网 12月29日消息,近期至少五款 Chrome 扩展程序遭遇协同攻击,攻击者通过注入恶意代码窃取用户的敏感信息。据 BleepingComputer 报道,数据丢失防护公司 Cyberhaven 于12月24日率先披露其 Chrome 扩展程序被恶意篡改的安全事件,原因系公司在 Google Chrome 商店的管理账户遭遇网络钓鱼攻击。
攻击者通过劫持 Cyberhaven 员工账户,将带有恶意代码的扩展程序版本(24.10.4)上传至商店,该版本可将用户的会话和 Cookie 数据泄露至攻击者控制的域名(cyberhavenext[.]pro)。Cyberhaven 的客户包括 Snowflake、摩托罗拉、佳能、Reddit 等知名企业,潜在影响范围广泛。
在发现恶意代码后,Cyberhaven 安全团队迅速采取行动,于一小时内下架了受影响版本,并在12月26日发布了修复后的版本(24.10.5)。Cyberhaven 在致客户的邮件中建议,用户应立即更新扩展程序至最新版本,撤销非 FIDOv2 的密码,轮换 API 令牌,并检查浏览器日志是否存在异常活动。
据ITCOW牛新网了解,Nudge Security 的研究员 Jaime Blasco 在事件后展开调查,发现除 Cyberhaven 外,至少还有四款扩展程序(包括 Uvoice 和 ParrotTalks)也被注入了类似的恶意代码。这些扩展程序在同一时间段内受攻击,均被植入用于接受攻击者指令的代码片段。此外,Blasco 还识别了指向其他潜在受害者的更多域名,尽管目前尚未确认是否已被利用。
专家建议,用户应立即采取以下措施保护自身数据安全:
- 卸载受影响的扩展程序或升级到12月26日之后发布的安全版本;
- 重置账户密码,特别是重要账户;
- 清除浏览器数据,包括Cookie和缓存;
- 将浏览器设置恢复为默认状态,以消除潜在的残留风险。