数十款Chrome浏览器扩展程序遭数据窃贼劫持
安全研究人员在发现一场以数据盗窃为重点的重大活动后,警告 Google Chrome 扩展程序用户提高警惕。
据 ExtensionTotal 称,迄今为止已检测到至少 36 个受感染的 Chrome 扩展程序,可能使多达 260 万终端用户受到影响。
该攻击活动于去年 12 月下旬首次曝光,当时网络安全初创公司 Cyberhaven 的扩展程序被劫持,使其 40 万用户面临风险。
据 ExtensionTotal 称,12 月 24 日,Cyberhaven 的一名管理员收到一封电子邮件,称该公司的扩展程序违反了 Google 的政策,并面临从 Chrome 网上应用店中删除的危险,随后遭到网络钓鱼。
ExtensionTotal 解释说: “点击电子邮件后,管理员会进入 Google 同意屏幕,请求获得名为“ 隐私政策扩展”的 OAuth 应用程序的权限。 ”
“该应用程序实际上是由攻击者控制的工具。通过授予权限,管理员在不知情的情况下让攻击者能够将 Cyberhaven 的新版本 Chrome 扩展程序上传到 Web Store。”
黑客随后上传了该扩展程序的恶意版本,旨在窃取用户密码、cookie 和其他可用于接管帐户的信息。恶意代码成功绕过了 Google 的安全检查。
开发人员要当心
安全供应商 SquareX 表示,扩展程序是威胁行为者获取初始访问权限的一种越来越流行的方式,因为大多数企业 IT 团队并不控制用户安装的内容。它补充说,即使他们这样做,也很少有 IT 管理员会监控允许列表中扩展程序的后续更新。
此外,大量开发人员很容易成为攻击目标,因为他们的电子邮件通常会在 Chrome 商店公开列出以供报告错误。
SquareX 创始人 Vivek Ramachandran 声称,他的公司已经发现过类似的攻击,旨在窃取 Google Drive 和 OneDrive 等应用程序的数据,并警告说,威胁行为者在未来的活动中会“更有创意”。
他认为:“随着员工依赖更多基于浏览器的工具来提高工作效率,类似于此 OAuth 攻击的针对浏览器扩展的身份攻击将变得更加普遍。”
“公司需要保持警惕,通过为员工配备合适的浏览器原生工具,在不影响员工工作效率的情况下,最大限度地降低供应链风险。”
