据BleepingComputer消息，至少展被近期，个C攻击黑客针对多个Chrome扩展程序进行了攻击 ，扩客数十万用户受到影响 。劫持节揭随着调查的新细深入
，一些攻击活动细节也得到了披露。示黑手法

根据最新调查，至少展被攻击导致至少 35 个扩展程序被植入数据窃取代码，个C攻击较之前的扩客初步怀疑数量直接翻倍 ，其中包括来自网络安全公司 Cyberhaven 的劫持节揭扩展。尽管最初的新细报道集中在 Cyberhaven 的安全扩展上，但随后的云计算示黑手法调查显示，这些扩展被大约 260 万人使用。至少展被

根据 LinkedIn 和Google Groups 上目标开发者的个C攻击报告，攻击活动大约在 2024 年12 月5 日开始。扩客然而，BleepingComputer 发现的早期命令和控制子域名早在 2024 年 3 月就已经存在。

一个欺骗性的 OAuth 攻击链

攻击始于直接发送给 Chrome 扩展开发者或通过与其域名关联的支持邮箱发送的钓鱼邮件。 BleepingComputer 发现以下域名在此活动中被用来发送钓鱼邮件：

supportchromestore.comforextensions.comchromeforextension.com

钓鱼邮件伪装成来自 Google官方，声称扩展违反了 Chrome Web Store 政策，并面临被删除的风险 。高防服务器

“我们不允许扩展包含误导性 、格式不良、非描述性 、无关、过多或不适当的元数据，包括但不限于扩展描述、开发者名称 、标题 、图标、截图和宣传图片，”钓鱼邮件中写道 。

具体来说，扩展开发者被引导相信其软件描述包含误导信息，必须同意 Chrome Web Store 政策。

攻击中使用的免费模板网络钓鱼电子邮件

如果开发者点击嵌入的“前往政策”按钮以了解他们违反了哪些规则，他们将被带到一个 Google 域上含有恶意OAuth 应用程序的合法登录页面，该页面是 Google 标准授权流程的一部分，旨在安全地授予第三方应用程序访问特定 Google 账户资源的权限。

在该平台上 ，攻击者托管了一个名为“隐私政策扩展”的恶意 OAuth 应用程序，要求受害者授予通过其账户管理 Chrome Web Store 扩展的权限
。在这过程中，多因素认证（MFA）并未帮助开发者保护账户，源码下载因为 OAuth 授权流程中不需要直接批准，而是默认用户完全理解他们授予的权限范围
。

权限审批提示

Cyberhaven 在事后分析中解释道 ，有员工遵循了标准流程
，无意中授权了这个恶意的第三方应用程序。但员工启用了 Google 高级保护，并且账户覆盖了 MFA
，且在过程中没有收到 MFA 提示，员工的 Google 凭证未被泄露 。

一旦威胁行为者获得了扩展开发者账户的访问权限，便会修改扩展，香港云服务器加入“worker.js”和“content.js” 两个恶意文件，其中包含从 Facebook 账户窃取数据的代码
。

这些恶意扩展随后作为新版本发布在 Chrome Web Store 。虽然 Extension Total 正在跟踪受此钓鱼活动影响的 35 个扩展
，但攻击的 IOC 表明，目标数量远不止这些 。

根据 VirusTotal 的数据，攻击者为目标扩展预注册了域名。虽然大多数域名是在 11 月和 12 月创建的，但 BleepingComputer 发现攻击者在 2024 年3 月就在对攻击进行测试 。源码库

网络钓鱼活动中使用的早期子域

针对 Facebook 商业账户

对受感染机器的设备显示，攻击者瞄准了恶意扩展受害者的Facebook 账户，试图通过数据窃取代码获取 Facebook ID 、访问令牌、账户信息
、广告账户信息和商业账户 。

窃取Facebook数据的扩展程序

此外
，恶意代码还添加了一个鼠标点击事件监听器
，专门用于受害者在 Facebook.com 上的交互 ，寻找与平台的双因素认证或 CAPTCHA 机制相关的 QR 码图像，从而试图绕过 Facebook 账户的 2FA 保护并劫持账户。

被盗信息将与 Facebook cookie  、用户代理字符串、 Facebook ID 和鼠标点击事件一起打包 ，并外泄到攻击者的命令和控制（C2）服务器
 。

攻击者一直在通过各种攻击途径针对 Facebook 商业账户
，以直接从受害者的信用卡窃取资金、发布虚假信息 
、执行钓鱼活动，或通过出售访问权限来获利
。

(责任编辑：系统运维)