圣诞节供应链攻击中受损的Chrome扩展 媒体

Chrome扩展程式供应链攻击事件揭示的安全隐患

主要要点

在12月25日首次被发现的这起供应链攻击中，几个Chrome扩展程式遭受了入侵，都是因为一名Cyberhaven的员工被网络钓鱼邮件骗取了登录Google Chrome Web Store的凭证。

根据Cyberhaven于12月27日发表的部落格文章，攻击者在12月24日利用这些凭证发布了一个恶意版本的Cyberhaven Chrome扩展程式，版本号为24104。Cyberhaven表示其安全团队在圣诞节当天晚上及时发现了该攻击，并在一小时内删除了这个恶意包。

这次攻击特别针对Facebook广告用户，试图窃取访问令牌、商业账户详细信息及广告账户信息，并尝试通过二阶段验证2FA的QR码扫描来绕过该验证，SlashNext电子邮件安全部门的Field CTO Stephen Kowski解释道。

“在主要假期的24小时暴露窗口中，可能影响了许多启用了自动更新的用户，对Facebook广告账户及相关商业数据造成了重大风险，”Kowski表示。

Kowski指出，尽管关于此次事件的各种新闻报导更重视于2FA的绕过方面，但故事的实质是一项针对Chrome扩展开发者的复杂供应链攻击。他表示，这起事件非常严重且值得注意，特别是考虑到对Facebook广告用户的影响，但核心问题在于OAuth的滥用和社会工程技术，而非2FA系统本身的基本缺陷。

Entro Security的联合创始人兼执行长Itzik Alvas进一步解释道，假冒为来自Chrome Web Store的合法通讯的网络钓鱼邮件引导该员工向一个恶意的OAuth应用程序提供了合法的非人性身份NHI，攻击者利用此身份来利用开发者账户。

Alvas指出，攻击者利用过度许可的访问权限发布了一个恶意扩展版本，该扩展在超过24小时内可用，并自动分发给启用自动更新的用户。

“通过操控与扩展的开发及分发过程相关的OAuth令牌和API金钥，攻击者能够利用NHIs扩大曝光范围，并侵害更多资源和公司，超出最初的网络钓鱼邮件范畴，”Alvas表示。

Bugcrowd创始人Casey Ellis补充道，这次攻击是一场精心策划的MFA绕过运动，时机恰到好处。他表示，令他感兴趣的是从成功的网络钓鱼到恶意Chrome扩展上传之间的短暂窗口，这表明攻击者已为成功入侵Cyberhaven作好准备，并将其视为一个供应链目标，这也是更广泛协调行动的一部分。

“扩展本

• • 2026-01-27 13:23:32
  • 24