资讯
近日消息,有一则令人担忧的消息传来。据相关报道,至少有五款Chrome扩展程序正遭受协同式的攻击。这些攻击者手段狡猾,他们通过向扩展程序中注入恶意代码的方式,企图窃取用户的敏感信息。
据了解,Cyberhaven 的客户包括 Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、星展银行、Upstart 和 Kirkland & Ellis 等知名企业。攻击者劫持了 Cyberhaven 员工的账户,并发布了恶意版本的 Cyberhaven 扩展程序(版本号 24.10.4),该版本包含可将已验证的会话和 Cookie 数据泄露到攻击者控制的域名(cyberhavenext [.] pro)的代码。
Cyberhaven 在发送给客户的邮件中表示,其内部安全团队在检测到恶意程序后一小时内就将其下架,干净版本的扩展程序(版本号 24.10.5)已于 12 月 26 日发布。除了升级到最新版本外,Cyberhaven Chrome 扩展程序的用户还被建议撤销所有非 FIDOv2 的密码,轮换所有 API 令牌,并检查浏览器日志以评估是否存在恶意活动。
在 Cyberhaven 披露事件后,Nudge Security 的研究员 Jaime Blasco 根据攻击者的 IP 地址和注册域名进行了深入调查。Blasco 发现,用于让扩展程序接收攻击者指令的恶意代码片段也在同一时间段被注入到其他四款 Chrome 扩展程序中,包括 Uvoice、ParrotTalks 等。Blasco 还发现了指向其他潜在受害者的更多域名,但只有以上四款扩展程序被确认为携带了恶意代码片段。
建议用户将这些扩展程序从浏览器中移除,或升级到 12 月 26 日之后发布的、确认已修复安全问题的安全版本。如果不确定扩展程序的发布者是否已获悉并修复了安全问题,最好卸载该扩展程序,重置重要的账户密码,清除浏览器数据,并将浏览器设置恢复到原始默认设置。
文明上网,理性发言,共同做网络文明传播者