导 读
新的攻击活动针对 Chrome 浏览器扩展程序,导致至少 16 个扩展程序受到攻击,超过 600,000 用户面临数据泄露和凭证被盗风险。
此次攻击通过网络钓鱼活动瞄准 Chrome 网上应用店中的浏览器扩展程序发布者,并利用他们的访问权限将恶意代码插入合法扩展程序中,以窃取 cookie 和用户访问令牌。
目前已知第一家受到攻击的公司是网络安全公司 Cyberhaven。
12 月 27 日,Cyberhaven披露,一名攻击者入侵其浏览器扩展程序并注入恶意代码,以便与位于域 cyberhavenext[.]pro 上的外部命令和控制 (C&C) 服务器进行通信,下载其他配置文件并窃取用户数据。
“浏览器扩展是网络安全的软肋。”专门从事浏览器扩展安全研究的LayerX Security首席执行官 Or Eshed 表示。“尽管我们倾向于认为浏览器扩展是无害的,但实际上,它们经常被授予大量权限,可以访问敏感用户信息,例如 cookie、访问令牌、身份信息等。
Eshed 说:“许多组织甚至不知道他们在端点上安装了什么扩展,也不知道他们的暴露程度。”
Cyberhaven 遭入侵的消息一经爆出,很快就发现其他同样遭入侵并与同一 C&C 服务器通信的扩展程序。
SaaS 安全公司 Nudge Security 的首席技术官 Jamie Blasco确定了其他域名,这些域名解析到 Cyberhaven 漏洞所使用的 C&C 服务器的同一 IP 地址。
目前怀疑已被入侵的其他浏览器扩展包括:
- AI Assistant - ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
这些额外受损的扩展程序表明 Cyberhaven 并不是一次性目标,而是针对合法浏览器扩展程序的大规模攻击活动的一部分。
对受感染 Cyberhaven 的分析表明,恶意代码针对的是 Facebook 账户的身份数据和访问令牌,特别是 Facebook 商业账户:
被感染的 Cyberhaven 浏览器扩展程序收集的用户数据(来源:Cyberhaven)
Cyberhaven 表示,该浏览器扩展的恶意版本在上线后约 24 小时就被删除。其他一些暴露的扩展也已更新或从 Chrome 网上应用店中删除。
Or Eshed 表示,该扩展程序从 Chrome 商店中删除并不意味着暴露已经结束。“只要受感染的扩展程序版本仍在终端上运行,黑客仍然可以访问它并窃取数据。”
安全研究人员正在继续寻找其他暴露的扩展。
新闻链接:
https://thehackernews.com/2024/12/16-chrome-extensions-hacked-exposing.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
乌克兰国家登记处遭受网络攻击,婚姻登记和房地产交易中断
https://therecord.media/cyberattack-on-ukraine-state-register-disrupts-real-estate-marriages
Cloud Atlas 部署 VBCloud 恶意软件:超过 80% 的目标位于俄罗斯
https://thehackernews.com/2024/12/cloud-atlas-deploys-vbcloud-malware.html
曹县APT组织利用虚假工作机会部署新型“OtterCookie”恶意软件针对开发人员
https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/
曹县LazarusAPT组织被发现利用 CookiePlus 恶意软件攻击核工程师
https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html
曹县黑客今年窃取了价值 13 亿美元的加密货币
https://www.bleepingcomputer.com/news/security/north-korean-hackers-stole-13-billion-worth-of-crypto-this-year/
日美指责曹县黑客抢劫 3.08 亿美元加密货币
https://www.infosecurity-magazine.com/news/us-japan-north-korea-crypto-heist/
伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体
https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html
一般威胁事件
General Threat Incidents
意大利大规模数据泄露事件导致 3500 万个电话号码和姓名被泄露
https://dailydarkweb.net/massive-data-breach-in-italy-exposes-35-million-phone-numbers-and-names/
欧洲80 万辆大众电动汽车及车主数据曝光
https://www.bleepingcomputer.com/news/security/customer-data-from-800-000-electric-cars-and-owners-exposed-online/
黑客利用第三方漏洞窃取 ZAGG 客户的信用卡
https://www.bleepingcomputer.com/news/security/hackers-steal-zagg-customers-credit-cards-in-third-party-breach/
16 个 Chrome 扩展程序遭黑客攻击,超过 60 万用户数据遭窃
https://thehackernews.com/2024/12/16-chrome-extensions-hacked-exposing.html
漏洞事件
Vulnerability Incidents
由于默认凭证,15,000 多个 Four-Faith 路由器高危漏洞被积极利用
https://thehackernews.com/2024/12/15000-four-faith-routers-exposed-to-new.html
僵尸网络在最近的攻击中利用了过时的 D-Link 路由器
https://www.bleepingcomputer.com/news/security/malware-botnets-exploit-outdated-d-link-routers-in-recent-attacks/
不安全的物联网云再次来袭:Reyee平台连接设备遭 RCE 攻击
https://claroty.com/team82/research/the-insecure-iot-cloud-strikes-again-rce-on-ruijie-cloud-connected-devices
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...