网络安全公司 Sekoia 向 Chrome 用户发出警告,一场针对浏览器扩展开发者的供应链攻击已经影响了数十万用户。
目前已有数十名 Chrome 扩展开发者遭到攻击。攻击者的目标是窃取 ChatGPT 和 Facebook for Business 等网站的 API 密钥、会话 cookie 和其他身份验证令牌。
Sekoia 调查了这次大规模网络钓鱼活动使用的基础设施,并"高度确信"其可以追溯到 2023 年的类似攻击。最近一次已知的攻击活动发生在 2024 年 12 月 30 日。
受害者之一是加利福尼亚州的 Cyberhaven,这家公司开发基于云的数据保护工具。该公司在 2024 年节礼日期间发现了入侵情况,这一发现当时被广泛报道。
Booz Allen Hamilton 分析了 Cyberhaven 的事件,证实了该供应商对这是一场更大规模攻击的怀疑。其随附的报告 [PDF] 揭示了一长串可能受影响的其他扩展,使潜在受影响的最终用户数量达到数百万。Sekoia 在其研究中发布了一份不太完整的列表,但两份列表中出现了相同的扩展。
根据 Booz Allen Hamilton 的报告,一些可能受影响的扩展似乎已从 Chrome 网上应用店下架。其他许多扩展的页面显示它们在 Cyberhaven 事件后已更新,但很少有公开承认发生事件的。
Reader Mode 是一个例外,其创始人 Ryzal Yusoff 向约 30 万用户发表公开信,告知他们 12 月 5 日发生的入侵事件。
"2024 年 12 月 5 日,由于一封模仿 Chrome 网上应用店官方通信的钓鱼邮件,我们的开发者账户遭到入侵,"Yusoff 说。"这次入侵使未经授权的人能够将恶意版本的 Reader Mode 扩展 (1.5.7 和 1.5.9) 上传到 Chrome 网上应用店。在 Google 发出与此次入侵相关的钓鱼尝试警告后,这次攻击于 2024 年 12 月 20 日被发现。"
位于奥斯汀的 Nudge Security 联合创始人兼 CTO Jaime Blasco 也在一系列在线帖子中列出了他怀疑遭到入侵的扩展名单,其中许多也出现在 Booz 的报告中。
攻击者通过伪装成 Chrome 网上应用店开发者支持的钓鱼邮件针对开发团队。根据 Yusoff 和 Sekoia 的说法,这些邮件模仿官方通信。
报告中出现的示例邮件显示,警告称扩展可能因违反虚假规则(如扩展描述中的不必要细节)而被从 Chrome 中删除。
受害者被诱导点击一个伪装成 Chrome 网上应用店政策说明的链接。该链接指向一个合法的 Google 账户页面,提示他们批准访问恶意 OAuth 应用。一旦开发者授予应用权限,攻击者就获得了将受感染版本的扩展上传到 Chrome 网上应用店所需的一切。
研究人员表示,开发者的电子邮件很可能是从 Chrome 网上应用店收集的,因为这些信息可能在那里被访问到。
Sekoia 利用与钓鱼邮件相关的两个域名,发现了此次活动使用的其他域名以及同一批不法分子可能参与的之前的攻击。
作为攻击者命令和控制 (C2) 服务器的域名仅托管在两个 IP 地址上。通过被动 DNS 解析,研究人员认为他们发现了该活动中所有可能被入侵的域名。
Sekoia 表示,由于每次都使用相同的注册商 (Namecheap),且 DNS 设置和 TLS 配置一致,因此很容易发现最新攻击和 2023 年使用的域名。
