又有8个Chrome扩展被劫持，目标用户为480万

大约两周前，我们报道了未知攻击者如何设法破坏一个开发团队的Chrome Web Store帐户，并劫持Copyfish扩展，然后对其进行修改，将垃圾邮件发送给用户。

就在那起事件发生两天后，一些不明身份的攻击者劫持了另一个广受欢迎的扩展网络开发者然后更新，将广告直接注入超过100万用户的网络浏览器。


“Web Developer”Chrome extension的创建者克里斯·佩德里克（Chris Pedrick）为用户提供各种Web开发工具，他向Proofpoint报告说自己的扩展遭到了破坏。之后，安全供应商分析了这个问题，并在Chrome商店中发现了更多的插件，这些插件也被修改了。

根据研究人员周一在Proof Point发布的最新报告，受损Chrome扩展的扩展列表如下：

• Chrometana（1.1.3）
• 无限新标签（3.12.3）
• CopyFish（2.8.5）
• 网络油漆（1.2.1）
• 社会修正者（20.1.1）
  

Proofpoint研究人员Kafeine还认为，Chrome扩展TouchVPN和Betternet VPN在6月底也以同样的方式遭到了破坏。

在上述所有案例中，一些不明身份的攻击者首先通过发送带有恶意链接的网络钓鱼电子邮件来窃取开发者的谷歌网络帐户凭据。


一旦攻击者获得对账户的访问权，他们要么劫持各自的扩展，然后对其进行修改以执行恶意任务，要么向其添加恶意Javascript代码，试图劫持流量，并让用户暴露于虚假广告和密码盗窃中，以赚取收入。

在Copyfish扩展的情况下，攻击者甚至将整个扩展移动到其开发人员的一个帐户，阻止软件公司从Chrome应用商店中删除受感染的扩展，即使在发现扩展的受损行为后也是如此。

研究人员总结道：“威胁行为人继续寻找新的方法来驱动附属程序的流量，并有效地向用户发布恶意广告。”。“在这里描述的案例中，他们利用受损的Chrome扩展来劫持流量，并在受害者的浏览器上替代广告。”

“一旦他们通过电子邮件钓鱼活动获得开发者凭据，他们就可以发布合法扩展的恶意版本。”

目前尚不清楚谁是劫持Chrome Web扩展的幕后黑手。

保护自己免受此类攻击的最佳方法是始终对通过网络钓鱼电子邮件发送的未经邀请的文档持怀疑态度，并且除非验证其来源，否则永远不要点击这些文档中的链接。