Chrome用户面临供应链攻击威胁，数百万人或受影响

Sekoia对开发者遭受的用户大规模网络钓鱼活动进行了调查 ，重点调查了该活动所使用的面临基础设施，相似活动可以追溯到2023年 ，链攻已知的击威最新活动发生在2024年12月30日。

到目前为止，胁数响已有数十名Chrome扩展开发者成为攻击的百万受害者，这些攻击的人或目的在于在从ChatGPT和Facebook for Business等网站窃取API密钥、会话cookie和其他身份验证令牌。受影

总部位于加利福尼亚的用户Cyberhaven是此次攻击的高防服务器受害者之一。该公司开发了一款基于云的面临数据保护工具  。2024年节礼日期间，链攻Cyberhaven发现其开发者账户被入侵，击威这一事件随后被广泛报道 。胁数响

Booz Allen Hamilton分析了Cyberhaven的百万事件
，并支持了供应商的人或怀疑 ，认为这是更广泛活动的一部分
。附带的分析报告中揭示了一长串可能受到影响的其他扩展 ，服务器租用潜在受影响的最终用户数量可能达到数百万 
。在Sekoia的研究中也发布了一份不太全面的列表 ，但两个列表中出现了相同的扩展。

根据Booz Allen Hamilton的报告，许多可能受影响的扩展在撰写报告时似乎已从Chrome网上应用店中撤下
。许多其他扩展的页面显示它们自Cyberhaven事件以来已经进行了更新，尽管很少有扩展公开承认事件 。一个例外是Reader Mode ，源码库其创始人Ryzal Yusoff向大约30万用户写了一封公开信，告知他们发生在12月5日的入侵 。

Yusoff表示 ：“2024年12月5日，我们的开发者账户因一封模仿Chrome网上应用店官方通信的网络钓鱼电子邮件而受到入侵。此次入侵允许未经授权的第三方将恶意版本的Reader Mode扩展（1.5.7 和 1.5.9）上传到Chrome网上应用店 。攻击于2024年12月20日被发现，当时Google发布了警告
，识别了与此入侵相关的网络钓鱼尝试。扩展的恶意版本可能包含未经授权的云计算脚本 ，旨在收集用户数据或执行其他有害操作。如果您在2024年12月7日至12月20日期间安装或更新了Reader Mode扩展，您的浏览器可能已受到影响。”

总部位于奥斯汀的Nudge Security的联合创始人兼首席技术官Jaime Blasco也在一系列在线帖子中提到了他怀疑受到入侵的扩展 ，其中也有许多出现在Booz的报告中。

根据Yusoff和Sekoia的说法，攻击者通过伪装成Chrome网上应用店开发者支持的钓鱼邮件，模仿官方通信，香港云服务器针对开发团队。

报告中出现的示例电子邮件显示 ，攻击者声称扩展可能因虚假规则违规（例如扩展描述中的不必要细节）而被从Chrome中撤下。受害者被诱骗点击伪装成Chrome网上应用店政策解释的链接，该链接指向一个合法的Google帐户页面 ，提示他们批准恶意OAuth应用程序的访问权限
。一旦开发者授予应用程序权限，攻击者便获得了上传被入侵扩展到Chrome网上应用店所需的一切。

研究人员表示
，开发者的源码下载电子邮件可能是从Chrome网上应用店收集的，因为这些信息在那里可能可以被访问。

通过与网络钓鱼邮件关联的两个域名
，Sekoia能够发现该活动中使用的其他域名以及可能涉及的先前攻击的域名 。作为攻击者指挥和控制（C2）服务器使用的域名仅托管在两个IP地址上，研究人员通过被动DNS解析认为他们发现了可能在此次活动中被入侵的所有域名 。

Sekoia表示，揭露最新攻击中使用的域名和2023年使用的域名“相对简单”，因为每次都使用了相同的注册商（Namecheap），DNS设置和TLS配置也保持一致 。

Sekoia在博客中写道：“域名命名约定及其创建日期表明 ，攻击者的活动至少自2023年12月以来就已开始。可能通过SEO投毒或恶意广告推广了重定向到所谓恶意Chrome扩展的网站 。”

Sekoia分析师认为，这个威胁行为者专门传播恶意Chrome扩展以收集敏感数据。在2024年11月底
，攻击者将其作案方式从通过虚假网站分发自己的恶意Chrome扩展转变为通过网络钓鱼邮件
、恶意OAuth应用和注入恶意代码到被入侵的Chrome扩展来入侵合法的Chrome扩展 。

参考链接 ：https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/