Chrome 安全扩展程序被黑客窃取用户数据

至少有五个 Chrome 扩展程序在一次协同攻击中受到损害，威胁行为者成功注入了窃取用户敏感信息的代码。

这是 Cyber​​haven 网络安全专家的说法。这家总部位于美国的数据安全公司就 12 月 24 日发生的针对该公司 Google Chrome 商店管理员帐户的网络钓鱼活动成功后向其客户发出了警告。

Cyber​​haven 的知名客户包括 Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS、Upstart 和 Kirkland & Ellis 等知名品牌。

黑客接管了员工帐户，并发布了 Cyber​​haven 扩展的恶意版本 (24.10.4)，其中包含可以窃取攻击者域 (cyberhavenext[.]pro) 的经过身份验证的会话和 cookie 的代码。

该公司在给客户的电子邮件中表示，Cyber​​haven 的内部安全团队在检测到后一小时内删除了该恶意软件包。

Chrome安全扩展被黑客窃取用户数据图1

该扩展程序的干净版本是 v24.10.5，于 12 月 26 日发布。除了升级到最新版本之外，Cyber​​haven Chrome 扩展程序用户还建议撤销非 FIDOv2 密码、更改所有 API 令牌并查看浏览器日志以进行评估用于恶意活动。

许多 Chrome 扩展程序已被黑客入侵

在 Cyber​​haven 披露后，Nudge Security 研究员 Jaime Blasco 进行了更深入的调查，从攻击者的 IP 地址和注册域名进行重定向。

Chrome安全扩展被黑客窃取用户数据图2

据 Blasco 称，允许扩展程序接收攻击者命令的恶意代码也同时被注入到其他 Chrome 扩展程序中：

1. Internxt VPN – 免费、加密、无限制的 VPN，用于安全浏览。 （10,000 个用户）
2. VPNCity – 注重隐私的 VPN，采用 256 位 AES 加密和全球服务器覆盖。 （50,000 个用户）
3. Uvoice – 基于奖励的服务，通过调查赚取积分并提供 PC 使用数据。 （40,000 个用户）
4. ParrotTalks – 无缝文本和笔记信息搜索引擎。 （40,000 个用户）
5. Blasco 发现多个域名指向其他几个潜在受害者，但到目前为止，只有上述扩展被确认包含恶意代码。

建议这些扩展程序的用户在确保发布者意识到安全问题并已修复后，立即将其从浏览器中删除或升级到 12 月 26 日之后发布的安全版本。

如果不确定，最好卸载该扩展程序，重置重要帐户密码，清除浏览器数据，并将浏览器设置重置为出厂默认值。

5 星 4 星 3 星 2星 1 星5 ★ | 2 投票

你应该阅读它