Sekoia對開發(fā)者遭受的大規(guī)模網(wǎng)絡(luò)釣魚活動進行了調(diào)查，重點調(diào)查了該活動所使用的基礎(chǔ)設(shè)施，相似活動可以追溯到2023年，已知的最新活動發(fā)生在2024年12月30日。

到目前為止，已有數(shù)十名Chrome擴展開發(fā)者成為攻擊的受害者，這些攻擊的目的在于在從ChatGPT和Facebook for Business等網(wǎng)站竊取API密鑰、會話cookie和其他身份驗證令牌。

受影響組織

總部位于加利福尼亞的Cyberhaven是此次攻擊的受害者之一。該公司開發(fā)了一款基于云的數(shù)據(jù)保護工具。2024年節(jié)禮日期間，Cyberhaven發(fā)現(xiàn)其開發(fā)者賬戶被入侵，這一事件隨后被廣泛報道。

Booz Allen Hamilton分析了Cyberhaven的事件，并支持了供應(yīng)商的懷疑，認為這是更廣泛活動的一部分。附帶的分析報告中揭示了一長串可能受到影響的其他擴展，潛在受影響的最終用戶數(shù)量可能達到數(shù)百萬。在Sekoia的研究中也發(fā)布了一份不太全面的列表，但兩個列表中出現(xiàn)了相同的擴展。

根據(jù)Booz Allen Hamilton的報告，許多可能受影響的擴展在撰寫報告時似乎已從Chrome網(wǎng)上應(yīng)用店中撤下。許多其他擴展的頁面顯示它們自Cyberhaven事件以來已經(jīng)進行了更新，盡管很少有擴展公開承認事件。一個例外是Reader Mode，其創(chuàng)始人Ryzal Yusoff向大約30萬用戶寫了一封公開信，告知他們發(fā)生在12月5日的入侵。

Yusoff表示：“2024年12月5日，我們的開發(fā)者賬戶因一封模仿Chrome網(wǎng)上應(yīng)用店官方通信的網(wǎng)絡(luò)釣魚電子郵件而受到入侵。此次入侵允許未經(jīng)授權(quán)的第三方將惡意版本的Reader Mode擴展（1.5.7 和 1.5.9）上傳到Chrome網(wǎng)上應(yīng)用店。攻擊于2024年12月20日被發(fā)現(xiàn)，當(dāng)時Google發(fā)布了警告，識別了與此入侵相關(guān)的網(wǎng)絡(luò)釣魚嘗試。擴展的惡意版本可能包含未經(jīng)授權(quán)的腳本，旨在收集用戶數(shù)據(jù)或執(zhí)行其他有害操作。如果您在2024年12月7日至12月20日期間安裝或更新了Reader Mode擴展，您的瀏覽器可能已受到影響。”

總部位于奧斯汀的Nudge Security的聯(lián)合創(chuàng)始人兼首席技術(shù)官Jaime Blasco也在一系列在線帖子中提到了他懷疑受到入侵的擴展，其中也有許多出現(xiàn)在Booz的報告中。

冒充Chrome支持

根據(jù)Yusoff和Sekoia的說法，攻擊者通過偽裝成Chrome網(wǎng)上應(yīng)用店開發(fā)者支持的釣魚郵件，模仿官方通信，針對開發(fā)團隊。

報告中出現(xiàn)的示例電子郵件顯示，攻擊者聲稱擴展可能因虛假規(guī)則違規(guī)（例如擴展描述中的不必要細節(jié)）而被從Chrome中撤下。受害者被誘騙點擊偽裝成Chrome網(wǎng)上應(yīng)用店政策解釋的鏈接，該鏈接指向一個合法的Google帳戶頁面，提示他們批準(zhǔn)惡意OAuth應(yīng)用程序的訪問權(quán)限。一旦開發(fā)者授予應(yīng)用程序權(quán)限，攻擊者便獲得了上傳被入侵?jǐn)U展到Chrome網(wǎng)上應(yīng)用店所需的一切。

研究人員表示，開發(fā)者的電子郵件可能是從Chrome網(wǎng)上應(yīng)用店收集的，因為這些信息在那里可能可以被訪問。

調(diào)查基礎(chǔ)設(shè)施

通過與網(wǎng)絡(luò)釣魚郵件關(guān)聯(lián)的兩個域名，Sekoia能夠發(fā)現(xiàn)該活動中使用的其他域名以及可能涉及的先前攻擊的域名。作為攻擊者指揮和控制（C2）服務(wù)器使用的域名僅托管在兩個IP地址上，研究人員通過被動DNS解析認為他們發(fā)現(xiàn)了可能在此次活動中被入侵的所有域名。

Sekoia表示，揭露最新攻擊中使用的域名和2023年使用的域名“相對簡單”，因為每次都使用了相同的注冊商（Namecheap），DNS設(shè)置和TLS配置也保持一致。

Sekoia在博客中寫道：“域名命名約定及其創(chuàng)建日期表明，攻擊者的活動至少自2023年12月以來就已開始?？赡芡ㄟ^SEO投毒或惡意廣告推廣了重定向到所謂惡意Chrome擴展的網(wǎng)站?！?/p>

Sekoia分析師認為，這個威脅行為者專門傳播惡意Chrome擴展以收集敏感數(shù)據(jù)。在2024年11月底，攻擊者將其作案方式從通過虛假網(wǎng)站分發(fā)自己的惡意Chrome擴展轉(zhuǎn)變?yōu)橥ㄟ^網(wǎng)絡(luò)釣魚郵件、惡意OAuth應(yīng)用和注入惡意代碼到被入侵的Chrome擴展來入侵合法的Chrome擴展。

參考鏈接：https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/