一場新的攻擊活動針對知名的Chrome瀏覽器擴展程序，導致至少16個擴展程序被入侵，超過60萬用戶面臨數據泄露和憑證被盜的風險。

此次攻擊通過釣魚活動針對Chrome Web Store上的瀏覽器擴展程序發布者，并利用其訪問權限在合法擴展程序中插入惡意代碼，以竊取用戶的Cookie和訪問令牌。

已知首個被曝光的企業是網絡安全公司Cyberhaven。12月27日，Cyberhaven披露稱，威脅行為者入侵了其瀏覽器擴展程序，并注入了惡意代碼，與位于域名cyberhavenext[.]pro的外部命令與控制（C&C）服務器通信，下載額外的配置文件并竊取用戶數據。

專注于瀏覽器擴展安全的LayerX Security公司CEO Or Eshed表示：“瀏覽器擴展是網絡安全的軟肋。盡管我們傾向于認為瀏覽器擴展是無害的，但實際上，它們通常被授予訪問敏感用戶信息的廣泛權限，例如Cookie、訪問令牌、身份信息等。”

Eshed補充道：“許多組織甚至不知道他們的終端上安裝了哪些擴展程序，也不清楚其暴露的程度。”

在Cyberhaven被入侵的消息曝光后，其他同樣被入侵并與同一C&C服務器通信的擴展程序也迅速被識別出來。SaaS安全公司Nudge Security的CTO Jamie Blasco發現了其他解析到與Cyberhaven入侵事件中使用的C&C服務器相同IP地址的域名。

目前懷疑被入侵的其他瀏覽器擴展程序包括：

• AI Assistant - ChatGPT and Gemini for Chrome
• Bard AI Chat Extension
• GPT 4 Summary with OpenAI
• Search Copilot AI Assistant for Chrome
• TinaMInd AI Assistant
• Wayin AI
• VPNCity
• Internxt VPN
• Vindoz Flex Video Recorder
• VidHelper Video Downloader
• Bookmark Favicon Changer
• Castorus
• Uvoice
• Reader Mode
• Parrot Talks
• Primus

這些被入侵的擴展程序表明，Cyberhaven并非孤立的目標，而是一場針對合法瀏覽器擴展程序的大規模攻擊活動的一部分。

對Cyberhaven被入侵事件的分析顯示，惡意代碼主要針對Facebook賬戶的身份數據和訪問令牌，特別是Facebook商業賬戶。

Cyberhaven表示，惡意版本的瀏覽器擴展程序在上線約24小時后被移除。其他一些被曝光的擴展程序也已更新或從Chrome Web Store中移除。

然而，Or Eshed指出，擴展程序從Chrome商店中移除并不意味著風險已經結束。“只要被入侵的擴展程序版本仍在終端上運行，黑客仍然可以訪問并竊取數據。”

安全研究人員正在繼續尋找其他被曝光的擴展程序，但此次攻擊活動的復雜性和范圍已使許多組織更加重視保護其瀏覽器擴展程序的安全性。