Sekoia對(duì)開(kāi)發(fā)者遭受的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)進(jìn)行了調(diào)查，重點(diǎn)調(diào)查了該活動(dòng)所使用的基礎(chǔ)設(shè)施，相似活動(dòng)可以追溯到2023年，已知的最新活動(dòng)發(fā)生在2024年12月30日。

到目前為止，已有數(shù)十名Chrome擴(kuò)展開(kāi)發(fā)者成為攻擊的受害者，這些攻擊的目的在于在從ChatGPT和Facebook for Business等網(wǎng)站竊取API密鑰、會(huì)話cookie和其他身份驗(yàn)證令牌。

受影響組織

總部位于加利福尼亞的Cyberhaven是此次攻擊的受害者之一。該公司開(kāi)發(fā)了一款基于云的數(shù)據(jù)保護(hù)工具。2024年節(jié)禮日期間，Cyberhaven發(fā)現(xiàn)其開(kāi)發(fā)者賬戶被入侵，這一事件隨后被廣泛報(bào)道。

Booz Allen Hamilton分析了Cyberhaven的事件，并支持了供應(yīng)商的懷疑，認(rèn)為這是更廣泛活動(dòng)的一部分。附帶的分析報(bào)告中揭示了一長(zhǎng)串可能受到影響的其他擴(kuò)展，潛在受影響的最終用戶數(shù)量可能達(dá)到數(shù)百萬(wàn)。在Sekoia的研究中也發(fā)布了一份不太全面的列表，但兩個(gè)列表中出現(xiàn)了相同的擴(kuò)展。

根據(jù)Booz Allen Hamilton的報(bào)告，許多可能受影響的擴(kuò)展在撰寫(xiě)報(bào)告時(shí)似乎已從Chrome網(wǎng)上應(yīng)用店中撤下。許多其他擴(kuò)展的頁(yè)面顯示它們自Cyberhaven事件以來(lái)已經(jīng)進(jìn)行了更新，盡管很少有擴(kuò)展公開(kāi)承認(rèn)事件。一個(gè)例外是Reader Mode，其創(chuàng)始人Ryzal Yusoff向大約30萬(wàn)用戶寫(xiě)了一封公開(kāi)信，告知他們發(fā)生在12月5日的入侵。

Yusoff表示：“2024年12月5日，我們的開(kāi)發(fā)者賬戶因一封模仿Chrome網(wǎng)上應(yīng)用店官方通信的網(wǎng)絡(luò)釣魚(yú)電子郵件而受到入侵。此次入侵允許未經(jīng)授權(quán)的第三方將惡意版本的Reader Mode擴(kuò)展（1.5.7 和 1.5.9）上傳到Chrome網(wǎng)上應(yīng)用店。攻擊于2024年12月20日被發(fā)現(xiàn)，當(dāng)時(shí)Google發(fā)布了警告，識(shí)別了與此入侵相關(guān)的網(wǎng)絡(luò)釣魚(yú)嘗試。擴(kuò)展的惡意版本可能包含未經(jīng)授權(quán)的腳本，旨在收集用戶數(shù)據(jù)或執(zhí)行其他有害操作。如果您在2024年12月7日至12月20日期間安裝或更新了Reader Mode擴(kuò)展，您的瀏覽器可能已受到影響。”

總部位于奧斯汀的Nudge Security的聯(lián)合創(chuàng)始人兼首席技術(shù)官Jaime Blasco也在一系列在線帖子中提到了他懷疑受到入侵的擴(kuò)展，其中也有許多出現(xiàn)在Booz的報(bào)告中。

冒充Chrome支持

根據(jù)Yusoff和Sekoia的說(shuō)法，攻擊者通過(guò)偽裝成Chrome網(wǎng)上應(yīng)用店開(kāi)發(fā)者支持的釣魚(yú)郵件，模仿官方通信，針對(duì)開(kāi)發(fā)團(tuán)隊(duì)。

報(bào)告中出現(xiàn)的示例電子郵件顯示，攻擊者聲稱(chēng)擴(kuò)展可能因虛假規(guī)則違規(guī)（例如擴(kuò)展描述中的不必要細(xì)節(jié)）而被從Chrome中撤下。受害者被誘騙點(diǎn)擊偽裝成Chrome網(wǎng)上應(yīng)用店政策解釋的鏈接，該鏈接指向一個(gè)合法的Google帳戶頁(yè)面，提示他們批準(zhǔn)惡意OAuth應(yīng)用程序的訪問(wèn)權(quán)限。一旦開(kāi)發(fā)者授予應(yīng)用程序權(quán)限，攻擊者便獲得了上傳被入侵?jǐn)U展到Chrome網(wǎng)上應(yīng)用店所需的一切。

研究人員表示，開(kāi)發(fā)者的電子郵件可能是從Chrome網(wǎng)上應(yīng)用店收集的，因?yàn)檫@些信息在那里可能可以被訪問(wèn)。

調(diào)查基礎(chǔ)設(shè)施

通過(guò)與網(wǎng)絡(luò)釣魚(yú)郵件關(guān)聯(lián)的兩個(gè)域名，Sekoia能夠發(fā)現(xiàn)該活動(dòng)中使用的其他域名以及可能涉及的先前攻擊的域名。作為攻擊者指揮和控制（C2）服務(wù)器使用的域名僅托管在兩個(gè)IP地址上，研究人員通過(guò)被動(dòng)DNS解析認(rèn)為他們發(fā)現(xiàn)了可能在此次活動(dòng)中被入侵的所有域名。

Sekoia表示，揭露最新攻擊中使用的域名和2023年使用的域名“相對(duì)簡(jiǎn)單”，因?yàn)槊看味际褂昧讼嗤淖?cè)商（Namecheap），DNS設(shè)置和TLS配置也保持一致。

Sekoia在博客中寫(xiě)道：“域名命名約定及其創(chuàng)建日期表明，攻擊者的活動(dòng)至少自2023年12月以來(lái)就已開(kāi)始?？赡芡ㄟ^(guò)SEO投毒或惡意廣告推廣了重定向到所謂惡意Chrome擴(kuò)展的網(wǎng)站。”

Sekoia分析師認(rèn)為，這個(gè)威脅行為者專(zhuān)門(mén)傳播惡意Chrome擴(kuò)展以收集敏感數(shù)據(jù)。在2024年11月底，攻擊者將其作案方式從通過(guò)虛假網(wǎng)站分發(fā)自己的惡意Chrome擴(kuò)展轉(zhuǎn)變?yōu)橥ㄟ^(guò)網(wǎng)絡(luò)釣魚(yú)郵件、惡意OAuth應(yīng)用和注入惡意代碼到被入侵的Chrome擴(kuò)展來(lái)入侵合法的Chrome擴(kuò)展。

參考鏈接：https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/