Chrome浏览器扩展程序遭遇数据窃取风波:多款插件悄悄植入恶意代码
Chrome浏览器插件惊现隐匿恶意代码,用户数据隐私岌岌可危!
数界探索
12月29日消息,据BleepingComputer报道,近期至少有五款Chrome扩展程序遭到协同攻击,攻击者通过植入恶意代码窃取用户敏感信息。数据丢失防护公司Cyberhaven于12月24日首先报告了其扩展程序被入侵的情况,原因是其在Google Chrome商店的管理账户遭受了成功的网络钓鱼攻击。
据了解,近日,知名网络安全公司Cyberhaven的客户名单中出现了众多知名企业,如Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展银行、Upstart和Kirkland & Ellis等。然而,近期发生的一起安全事件却让Cyberhaven及其客户面临严峻挑战。据报道,有不法分子成功劫持了Cyberhaven部分员工的账户,并发布了恶意版本的Cyberhaven浏览器扩展程序(版本号24.10.4)。这个恶意版本包含了能够窃取已验证的会话和Cookie数据的代码,并将这些敏感信息泄露到了一个由攻击者控制的域名(cyberhavenext[.]pro)。 这一事件不仅暴露了Cyberhaven在内部安全管理上的漏洞,也提醒我们,即便是顶尖的网络安全企业也不能完全避免遭受攻击。对于Cyberhaven而言,如何快速有效地应对此次事件,防止进一步的数据泄露,以及如何提升内部安全措施,防止类似事件再次发生,将是其未来需要重点关注的问题。此外,这也警示所有企业和用户,定期更新软件和检查系统安全性至关重要,以确保个人和企业的信息安全。
Cyberhaven 在发送给客户的邮件中表示,其内部安全团队在检测到恶意程序后一小时内就将其下架,干净版本的扩展程序(版本号 24.10.5)已于 12 月 26 日发布。除了升级到最新版本外,Cyberhaven Chrome 扩展程序的用户还被建议撤销所有非 FIDOv2 的密码,轮换所有 API 令牌,并检查浏览器日志以评估是否存在恶意活动。
在Cyberhaven披露事件后,NudgeSecurity的研究员Jaime Blasco对此次攻击展开了深入调查。Blasco通过分析攻击者的IP地址和注册域名,发现用于让扩展程序接收攻击者指令的恶意代码片段不仅出现在Cyberhaven的扩展程序中,还在同一时间段内被注入到了其他四款Chrome扩展程序中,其中包括Uvoice和ParrotTalks。Blasco进一步追踪到了指向其他潜在受害者的更多域名,但目前只有这四款扩展程序被确认为携带了恶意代码片段。 这一系列发现再次提醒我们,网络安全威胁正在变得越来越复杂且隐蔽。攻击者不仅能够通过单一渠道进行渗透,还能利用多种工具和手段扩大其影响范围。对于用户而言,选择可信赖的扩展程序并定期更新以修补安全漏洞显得尤为重要。同时,这也要求开发者和安全团队持续加强监控和防御机制,及时发现并阻止此类恶意行为。
建议用户将这些扩展程序从浏览器中移除,或升级到2024年12月26日之后发布的、确认已修复安全问题的安全版本。如果不确定扩展程序的发布者是否已获悉并修复了安全问题,最好卸载该扩展程序,重置重要的账户密码,清除浏览器数据,并将浏览器设置恢复到原始默认设置。