Cyberhaven 和其它多个 Chrome 扩展的恶意版本被发布在谷歌 Chrome Web Store 中，组成攻击 Facebook 广告用户的供应链的一部分。

数据扩展安全公司 Cyberhaven 的一名员工遭钓鱼攻击之后，授权一款恶意 OAuth 应用 Privacy Policy Extension 在Cyberhaven 的 Chrome Web Store 账户发布。

钓鱼消息假装来自 Chrome Web Store，被发送到注册的支持邮件，声称该扩展的描述中因包含过多的关键词而将被从商店中删除。点击消息中的链接后，这名员工通过标准的谷歌授权流程被攻击，使得恶意第三方应用获得访问开发者账户的权限。

Cyberhaven 公司解释称，“这名员工启用了谷歌高阶保护功能，并开启了账号的多因素认证机制。这名员工并未收到多因素认证提示，他的谷歌凭据并未失陷。”

之后，攻击者利用这些权限在 Chrome Web Store 中发布了该扩展的恶意版本，并在12月25日至12月26日期间的存在时间超过24小时。该恶意版本24.10.4 之后被删除并替换为干净版本24.10.5。当该恶意版本存在于 Chrome Web Store 中时，被分发给启动了自动更新特性的用户。研究人员表示，“调查显示，Chberhaven 的其它系统，包括CI/CD流程和代码签名密钥并未遭攻陷。”

该恶意扩展似乎针对的是 Facebook.com 的广告用户，收集和提取访问令牌、用户ID、通过Facebook API 获得账户信息、商业账户以及广告账号信息。另外，该恶意代码为Facebook.com 增加了一个鼠标点击监听，因此当用户点击相关页面时它会检索所有图片。根据它处理所检索图片的不同方式，该代码会搜索QR代码来绕过captcha 和/或 2FA授权请求。

Cyberhaven 公司的融资已超过1.36亿美元，在2024年6月的C轮融资中获得8800万美元后市值达到4.88亿美元。

Nudge Security 公司的联合创始人兼首席技术官 Jaime Blasco 在LinkedIn 帖子中提到，其它的 Chrome 扩展也失陷，威胁行动者在很短的时间内创建了多个欺诈性域名，所有这些域名都托管在相同的IP地址上。至少存在五款其它失陷的Chrome 扩展，包括 Internxt VPN、VPNCity、Uvoice和ParrotTalks。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~