多款 Chrome 浏览器扩展程序被植入恶意代码，以窃取用户数据

根据 IT之家 12 月 29 日的报道，BleepingComputer 揭露了近期至少五款 Chrome 扩展程序遭遇协同攻击的事件，攻击者通过注入恶意代码来窃取用户的敏感信息。数据保护公司 Cyberhaven 在 12 月 24 日首次披露了其扩展程序被攻击的情况，原因是其在 Google Chrome 商店的管理账户遭遇了网络钓鱼攻击。

了解更多信息，Cyberhaven 的客户包括一些知名企业，如 Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展银行、Upstart 和 Kirkland & Ellis。攻击者获取了 Cyberhaven 员工的账户，并发布了带有恶意代码的 Cyberhaven 扩展程序（版本号 24.10.4），该恶意版本可泄露已验证的会话和 Cookie 数据至攻击者控制的域名（cyberhavenext [.] pro）。

在发现恶意程序后，Cyberhaven 向客户发送的邮件中表明，其内部安全团队在一小时内便将该程序下架，并于 12 月 26 日发布了经过清理的扩展程序（版本号 24.10.5）。除了及时升级到最新版本外，Cyberhaven Chrome 扩展程序的用户还应撤销所有非 FIDOv2 的密码，更新所有 API 令牌，并检查浏览器记录以确认是否发生了恶意活动。

在 Cyberhaven 事件披露后，Nudge Security 的研究人员 Jaime Blasco 基于攻击者的 IP 地址和注册域名进行了详细调查。他发现，注入到扩展程序中以接收攻击者指令的恶意代码片段，也在同一时间被植入到另外四款 Chrome 扩展程序中，包括 Uvoice 和 ParrotTalks。Blasco 还发现了其他潜在受害者的域名，但目前确认的仅有上述四款扩展程序含有恶意代码。

建议用户立即从浏览器中删除这些扩展程序，或更新至 12 月 26 日后发布的已修复安全问题的版本。如对扩展程序的发布者是否已知晓并解决了安全问题存在疑虑，最佳做法是卸载该扩展程序，重置相关账户密码，清除浏览器数据，并将浏览器设置恢复为默认状态。

广告声明：文中包含的外部跳转链接（包括但不限于超链接、二维码、口令等）旨在提供更多信息，节省筛选时间，结果仅供参考。