近期,至少五款Chrome扩展程序遭到协同攻击,攻击者通过注入恶意代码来窃取用户敏感信息。据Cyberhaven公司的数据显示,其管理账户在12月24日遭到了成功的网络钓鱼攻击。该公司客户包括Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan等知名企业。
据了解,这些恶意版本的Chrome扩展程序(版本号24.10.4)包含了可将已验证的会话和Cookie数据泄露到攻击者控制下的域名(cyberhavenext.pro)的代码片段。为了解决这个问题,Cyberhaven在其内部安全团队检测到该恶意程序后一小时内就将其下架,并发布了最新版本的干净版本(版本号24.10.5)。除了升级到最新版本外,Cyberhaven Chrome 扩展程序的用户还应撤销所有非FIDOv2密码并轮换所有API令牌,并检查浏览器日志以评估是否存在其他形式的恶意活动。
在Cyberhaven披露事件后,Nudge Security公司的研究员Jaime Blasco进行了调查,发现攻击者的IP地址和注册域名在同一时间段被注入到其他四款Chrome扩展程序中,包括Uvoice、ParrotTalks等。Blasco还发现了指向其他潜在受害者的更多域名。然而,以上四个扩展程序已被确认携带了恶意代码片段。
因此,建议用户将这些扩展程序从浏览器中移除或升级到12月26日后发布的确认修复了安全问题的安全版本。如果不确定扩展程序的发布者是否已知晓并修复了安全问题,则最好卸载该扩展程序,并重置重要账户密码、清除浏览器数据,并将浏览器设置恢复到原始默认设置。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
