据BleepingComputer的调查显示,截至目前,已有至少35款谷歌Chrome插件被植入了相同的恶意代码,全球约有260万名用户在使用这些插件。此次攻击事件已导致超过40万台设备遭受感染。更令人担忧的是,该攻击活动的起始时间可以追溯到去年12月5日,比最初预期的时间提前了两周多。早在2024年3月,研究人员就已察觉到这轮攻击行动的相关迹象,但当时受影响的设备数量尚属零星,因而未能引起足够重视。 有趣的是,网络安全初创公司Cyberhaven曾开发了一款Chrome安全插件,专门用于防止未经授权的网站(如Facebook或ChatGPT)泄露敏感信息。 在这起特殊事件中,攻击始于一封针对程序开发人员的网络钓鱼邮件。这封邮件伪装成谷歌的官方通知,声称某个插件违反了 Chrome 网上应用店的规定,可能面临被删除的风险。邮件诱使开发人员允许运行一个名为“隐私政策扩展”的插件,该插件随后获得了用户权限,使攻击者得以访问系统并肆意破坏。 不久后,这个插件的一个新恶意版本被上传,成功绕过了谷歌的安全检查,并通过 Chrome 的自动更新机制传播到大约 40 万名用户的设备之上。 调查显示,攻击者意在通过该插件窃取受害者的Facebook数据。令人警觉的是,用于攻击的域名早在2024年3月就已完成注册与测试。更进一步的是,在事件爆发前的11月和12月期间,攻击者还注册了一大批新域名,显然是为了此次攻击做足了充分准备。 针对BleepingComputer披露的这份研究报告,Cyberhaven迅速作出了回应。在官方声明中他们表示:“涉事员工严格遵守了标准操作流程,只是不小心让一款恶意第三方应用钻了空子。 该员工已经启用了Google的高级保护功能,并设置了多因素认证(MFA)以增强账户的安全性。然而,实际上该员工从未收到过任何与MFA相关的安全风险提示。此外,我们确认该员工的谷歌凭证并未遭到泄露,目前网络上流传的相关爆料纯属谣言。”  |
