据路透社报道,一场网络攻击活动早在12月中旬就将恶意代码植入了多个Chrome浏览器扩展程序中。此次攻击的主要目标是窃取浏览器cookie和认证会话,特别是针对“特定的社交媒体广告和AI平台”。以下是关于这次攻击的详细信息:
攻击概述
- 攻击时间:恶意代码最早在12月中旬被植入,具体日期未明确。
- 攻击手段:攻击者通过一封钓鱼邮件成功入侵了受影响的公司之一——Cyberhaven,并利用其权限推送了包含恶意代码的扩展程序更新。
- 影响范围:除了Cyberhaven的数据防泄露扩展程序外,其他可能受影响的扩展程序还包括Internxt VPN、VPNCity、Uvoice和ParrotTalks。安全研究员Jaime Blasco还在X平台上指出,他发现了一些VPN和AI扩展程序中也包含与Cyberhaven相同的恶意代码。
Cyberhaven的应对措施
- 事件时间线:
- 12月24日晚上8:32(美国东部时间):黑客推送了包含恶意代码的Cyberhaven数据防泄露扩展程序更新版本(24.10.4)。
- 12月25日晚上6:54:Cyberhaven发现了该恶意代码。
- 12月25日晚上7:54:公司在一小时内移除了恶意代码。
- 12月25日晚上9:50:恶意代码停止活跃。
- 24.10.5更新:Cyberhaven发布了干净的扩展程序版本。
- 通知与建议:
- Cyberhaven通过电子邮件通知了客户,并在博客文章中提供了详细的事件说明和技术分析。
- 该公司建议受影响的公司采取以下措施:
- 检查日志:查找任何可疑的活动,特别是与Facebook广告账户相关的异常行为。
- 撤销或轮换密码:特别是那些未使用FIDO2多因素认证标准的账户,以防止进一步的潜在风险。
安全研究员的分析
- Jaime Blasco(安全研究员)认为,这次攻击“只是随机的”,并非专门针对Cyberhaven。他在X平台上发帖称,他发现了其他VPN和AI扩展程序中也包含类似的恶意代码,表明这可能是一次更广泛的攻击活动。
媒体与公众反应
- TechCrunch在周五上午报道了此事,引起了广泛关注。
- Bleeping Computer也报道了其他可能受影响的扩展程序,进一步扩大了对该事件的关注度。
总结与建议
此次攻击再次提醒用户和企业,浏览器扩展程序的安全性至关重要。为了保护自己免受类似攻击的影响,建议采取以下措施:
- 定期更新扩展程序:确保所有安装的扩展程序都是最新版本,避免使用过时或不安全的插件。
- 启用多因素认证:特别是对于重要的账户(如社交媒体广告账户),启用FIDO2或其他形式的多因素认证,增加额外的安全层。
- 谨慎处理邮件:避免点击不明链接或下载附件,尤其是在收到看似可疑的邮件时。
- 监控账户活动:定期检查账户的日志,及时发现并处理任何异常行为。
通过这些措施,可以有效降低遭受网络攻击的风险,保护个人和企业的敏感信息。
0条评论