一次复杂的攻击活动已危及至少16个Chrome浏览器扩展程序，导致超过60万用户面临数据和凭据被盗的风险。此次攻击通过模仿Chrome网上应用店官方通信的网络钓鱼电子邮件，瞄准扩展程序发布者。

这些电子邮件旨在营造一种紧迫感，诱骗开发人员授予恶意应用程序访问其帐户的权限。这允许攻击者将恶意代码注入合法扩展程序。

收件人被要求通过点击链接来接受政策，然后该链接会将他们带到一个页面，向名为“隐私政策扩展”的恶意OAuth应用程序授予权限。

Cyber​​haven是一家专门从事数据丢失预防的网络安全公司，也是受影响的公司之一，也是第一家公开披露其被入侵的公司。此次攻击发生在12月24日，涉及网络钓鱼，以获取公司员工的Chrome Web Store管理员凭据。

Cyber​​haven称，攻击者入侵了“Google Chrome商店的单一管理员帐户”，并成功向其流行的Chrome扩展程序发布了恶意更新。此更新于圣诞节当天发布，旨在窃取敏感用户数据，包括密码、会话令牌、Facebook帐户凭据和Cookie。

该恶意扩展程序版本为24.10.4，在被发现并从Chrome网上应用店中删除之前，该扩展程序活跃了超过31个小时。该公司在披露中写道：“我们的安全团队于12月25日UTC时间晚上11:54检测到了这一漏洞，并在60分钟内删除了该恶意软件包。”

Cyber​​haven立即发布了合法更新(版本24.10.5)，聘请Mandiant制定事件响应计划，并通知联邦执法机构进行调查。该公司已确认其系统(包括CI/CD流程和代码签名密钥)未受到损害。

在发给客户的电子邮件中，Cyber​​haven建议用户撤销和更换密码以及文本凭证(例如API令牌)，并检查日志中是否存在恶意活动。这是因为被盗的会话令牌和cookie可能会绕过安全措施，让黑客无需密码或双因素代码即可访问已登录的帐户。但是，该公司尚未披露入侵的方法或导致帐户被盗的公司安全政策。

在Cyber​​haven被攻破后，安全研究人员发现许多其他被攻破的扩展程序表现出类似的恶意行为。这些扩展程序涵盖AI助手、VPN和生产力工具等不同类别，被发现与相同的命令和控制服务器进行通信。

浏览器扩展安全平台Secure Annex发现，其他受到攻击的扩展程序包括：
1. VPN城
2. 鹦鹉讲座
3. 优音
4. Internxt VPN
5. 书签图标更换器
6. 蓖麻属
7. 慧影人工智能
8. 搜索 Chrome 版 Copilot AI Assistant
9. VidHelper – 视频下载器
10. AI 助手 – Chrome 版 ChatGPT 和 Gemini
11. Vidnoz Flex – 视频录像机和视频共享器
12. TinaMind – GPT-4o 支持的人工智能助手！
13. 吟游诗人AI聊天
14. 阅读器模式
15. Primus (前身为 PADO)
16. Tapker – 在线键盘记录工具
17. 人工智能购物伙伴
18. 按最旧排序
19. 奖励搜索自动化程序
20. Earny – 高达 20% 现金返还
21. ChatGPT Assistant – 智能搜索
22. 键盘历史记录器
23. 电子邮件猎人
24. Google Meet 的视觉效果
25. Cyber​​haven 安全扩展 V3

这意味着这是一次经过深思熟虑的大规模攻击。安全研究人员仍在寻找更多暴露的扩展，但攻击的复杂性和范围增加了组织保护其浏览器扩展的重要性。攻击者的身份仍不清楚。