近期，至少五款Chrome擴(kuò)展程序遭受協(xié)同攻擊，攻擊者通過(guò)注入惡意代碼竊取用戶敏感信息。數(shù)據(jù)丟失防護(hù)公司Cyberhaven于12月24日率先披露了其擴(kuò)展程序遭到入侵的消息，原因是其在Google Chrome商店的管理賬戶遭遇了成功的網(wǎng)絡(luò)釣魚攻擊。

Cyberhaven的客戶包括Snowflake、摩托羅拉、佳能、Reddit等知名企業(yè)。攻擊者劫持了Cyberhaven員工的賬戶，并發(fā)布了惡意版本的Cyberhaven擴(kuò)展程序（版本號(hào)24.10.4），該版本包含可將已驗(yàn)證的會(huì)話和Cookie數(shù)據(jù)泄露到攻擊者控制的域名的代碼。

Cyberhaven在發(fā)送給客戶的郵件中表示，其內(nèi)部安全團(tuán)隊(duì)在檢測(cè)到惡意程序后一小時(shí)內(nèi)就將其下架，干凈版本的擴(kuò)展程序（版本號(hào)24.10.5）已于12月26日發(fā)布。用戶被建議撤銷所有非FIDOv2的密碼，輪換所有API令牌，并檢查瀏覽器日志以評(píng)估是否存在惡意活動(dòng)。

在Cyberhaven披露事件后，Nudge Security的研究員Jaime Blasco發(fā)現(xiàn)，用于讓擴(kuò)展程序接收攻擊者指令的惡意代碼片段也在同一時(shí)間段被注入到其他四款Chrome擴(kuò)展程序中，包括Uvoice、ParrotTalks等。Blasco還發(fā)現(xiàn)了指向其他潛在受害者的更多域名，但只有以上四款擴(kuò)展程序被確認(rèn)為攜帶了惡意代碼片段。

建議用戶將這些擴(kuò)展程序從瀏覽器中移除，或升級(jí)到12月26日之后發(fā)布的、確認(rèn)已修復(fù)安全問(wèn)題的安全版本。如果不確定擴(kuò)展程序的發(fā)布者是否已獲悉并修復(fù)了安全問(wèn)題，最好卸載該擴(kuò)展程序，重置重要的賬戶密碼，清除瀏覽器數(shù)據(jù)，并將瀏覽器設(shè)置恢復(fù)到原始默認(rèn)設(shè)置。