網路安全公司 Sekoia 向 Chrome 用戶發出警告,一場針對瀏覽器擴展開發者的供應鏈攻擊已經影響了數十萬用戶。
目前已有數十名 Chrome 擴展開發者遭到攻擊。攻擊者的目標是竊取 ChatGPT 和 Facebook for Business 等網站的 API 密鑰、會話 cookie 和其他身份驗證令牌。
Sekoia 調查了這次大規模網路釣魚活動使用的基礎設施,並"高度確信"其可以追溯到 2023 年的類似攻擊。最近一次已知的攻擊活動發生在 2024 年 12 月 30 日。
受害者之一是加利福尼亞州的 Cyberhaven,這家公司開發基於雲的數據保護工具。該公司在 2024 年節禮日期間發現了入侵情況,這一發現當時被廣泛報道。
Booz Allen Hamilton 分析了 Cyberhaven 的事件,證實了該供應商對這是一場更大規模攻擊的懷疑。其隨附的報告 [PDF] 揭示了一長串可能受影響的其他擴展,使潛在受影響的最終用戶數量達到數百萬。Sekoia 在其研究中發布了一份不太完整的列表,但兩份列表中出現了相同的擴展。
根據 Booz Allen Hamilton 的報告,一些可能受影響的擴展似乎已從 Chrome 網上應用店下架。其他許多擴展的頁面顯示它們在 Cyberhaven 事件後已更新,但很少有公開承認發生事件的。
Reader Mode 是一個例外,其創始人 Ryzal Yusoff 向約 30 萬用戶發表公開信,告知他們 12 月 5 日發生的入侵事件。
"2024 年 12 月 5 日,由於一封模仿 Chrome 網上應用店官方通信的釣魚郵件,我們的開發者賬戶遭到入侵,"Yusoff 說。"這次入侵使未經授權的人能夠將惡意版本的 Reader Mode 擴展 (1.5.7 和 1.5.9) 上傳到 Chrome 網上應用店。在 Google 發出與此次入侵相關的釣魚嘗試警告後,這次攻擊於 2024 年 12 月 20 日被發現。"
位於奧斯汀的 Nudge Security 聯合創始人兼 CTO Jaime Blasco 也在一系列在線帖子中列出了他懷疑遭到入侵的擴展名單,其中許多也出現在 Booz 的報告中。
攻擊者通過偽裝成 Chrome 網上應用店開發者支持的釣魚郵件針對開發團隊。根據 Yusoff 和 Sekoia 的說法,這些郵件模仿官方通信。
報告中出現的示例郵件顯示,警告稱擴展可能因違反虛假規則(如擴展描述中的不必要細節)而被從 Chrome 中刪除。
受害者被誘導點擊一個偽裝成 Chrome 網上應用店政策說明的鏈接。該鏈接指向一個合法的 Google 賬戶頁面,提示他們批准訪問惡意 OAuth 應用。一旦開發者授予應用權限,攻擊者就獲得了將受感染版本的擴展上傳到 Chrome 網上應用店所需的一切。
研究人員表示,開發者的電子郵件很可能是從 Chrome 網上應用店收集的,因為這些資訊可能在那裡被訪問到。
Sekoia 利用與釣魚郵件相關的兩個域名,發現了此次活動使用的其他域名以及同一批不法分子可能參與的之前的攻擊。
作為攻擊者命令和控制 (C2) 伺服器的域名僅託管在兩個 IP 地址上。通過被動 DNS 解析,研究人員認為他們發現了該活動中所有可能被入侵的域名。
Sekoia 表示,由於每次都使用相同的註冊商 (Namecheap),且 DNS 設置和 TLS 配置一致,因此很容易發現最新攻擊和 2023 年使用的域名。
