2025.01.21

恶意chrome插件

近日,Chrome浏览器曝出历史上最严重的安全危机事件之一,安全研究人员发现33个Chrome浏览器扩展程序(插件)遭到网络钓鱼攻击,在Chrome应用商店发布的版本被恶意篡改,悄悄从约260万台用户设备中窃取敏感数据。

 

这些被篡改的扩展程序在Google的Chrome网上应用店中上架时间最长达18个月,期间用户几乎无法觉察自己的数据已经泄漏。

 

最先发现恶意版本扩展程序的开发者是数据泄露防护服务商Cyberhaven。后者注意到,其约40万用户使用的Chrome扩展程序被恶意更新,新增了窃取敏感数据的恶意代码。

 

Cyberhaven扩展程序的恶意版本(24.10.4)于12月25日凌晨1:32(UTC)上线,至12月26日凌晨2:50(UTC)被撤下,存在时间共计31小时。

 

在此期间,运行该扩展的Chrome浏览器会自动下载并安装恶意代码。Cyberhaven随后发布了24.10.5和24.10.6版本以修复这一问题。

 

Cyberhaven发现,攻击者使用相同的网络钓鱼手段,诱骗Chrome浏览器插件开发者授权,随后发布包含恶意代码的新版本,手法如下:

 

攻击者首先向Chrome应用商店热门插件开发者发送邮件,声称其扩展程序违反了Google的条款,若不立即采取行动将被撤销。邮件中的链接引导开发者授权一个名为“Privacy Policy Extension”的OAuth应用访问其账户。

 

一旦授权,攻击者便获得了向Chrome网上应用店上传新版本的权限,进而发布包含恶意代码的版本。

 

除了Cyberhaven外,另有Chrome扩展程序也遭受了类似的攻击,这些扩展程序的总下载量超过260万次,具体如下:

 

图片

 

浏览器扩展程序向来是网络安全的薄弱环节。例如,2019年,Chrome和Firefox的扩展被发现从400万台设备窃取了敏感数据。

 

许多受感染的设备运行在数十家公司的网络内,包括特斯拉、Blue Origin、FireEye、赛门铁克、TMobile和Reddit。在许多情况下,防范和遏制恶意扩展程序难度不大,因为许多扩展程序没有任何实用价值。

 

但是Cyberhaven这样的扩展程序一旦被黑,解决威胁就不那么容易了。毕竟,该扩展程序提供了许多有价值的服务。

 

专家表示,一个潜在的解决方案是让企业编制一个浏览器资产管理列表,该列表只允许运行选定的扩展程序并阻止所有其他扩展程序。即便如此,Cyberhaven客户仍会安装恶意扩展版本,除非资产管理列表指定信任特定版本并禁止信任所有其他版本。

 

最后,任何运行过上述受感染扩展程序的用户都应该认真考虑更改密码和其他身份验证凭据。

 

来源:https://arstechnica.com/security/2025/01/dozens-of-backdoored-chrome-extensions-discovered-on-2-6-million-devices/,文版权归原作者所有,如有侵权请联系我们及时删除.



上一篇:网络安全绝非漏洞游戏

下一篇:字节跳动因代码侵权被判赔8266.8万元