包括 "Adblock for Chrome "在内的 16 款流行 Chrome 扩展程序在大规模网络攻击中被劫持

重大 安全漏洞通过一个恶意浏览器扩展网络，超过 320 万用户受到了威胁。这些扩展程序故意伪装成合法的，但却被发现注入有害脚本、窃取数据，甚至参与搜索引擎欺诈。研究人员已经确定这次攻击是通过供应链漏洞实施的，攻击者潜入受信任的扩展程序，在用户毫无察觉的情况下推送恶意更新。

这些扩展原本是为广告拦截、表情符号键盘和屏幕捕捉等功能而设计的。然而，更新引入了混淆脚本，使未经授权的数据渗入、HTTP 请求修改和向网页注入广告成为可能。所有这些变化都没有被早先授予这些扩展权限的用户察觉，这使得攻击者可以实时操纵网络活动。多位安全专家指出，授予这些扩展的权限（包括主机访问和脚本控制）使它们变得特别危险。

以下是所有 16 个受影响的 Chrome 浏览器扩展的完整列表：

• Blipshot（一键全页截图）
• 表情符号--表情符号键盘
• WAToolkit
• 用于 YouTube 的换色器
• 适用于 YouTube 的视频特效和音频增强器
• 适用于 Chrome 浏览器和 YouTube™ 的主题画中画
• Mike Adblock für Chrome| Chrome-Werbeblocker
• 页面刷新
• Wistia 视频下载器
• 超级黑暗模式
• 用于 Chrome 浏览器的表情符号键盘
• 适用于 Chrome 浏览器的广告屏蔽程序 - NoAds
• 为您屏蔽广告
• 用于 Chrome 浏览器的广告屏蔽
• 敏捷捕捉
• KProxy

调查发现，这次攻击的源头是被入侵的开发者账户。一些开发者在不知情的情况下最终将其扩展程序的控制权转移给了攻击者，攻击者随后通过官方浏览器扩展程序商店发布了恶意更新。这次攻击的基础架构似乎与之前已知的网络钓鱼行动有关。威胁者利用 "host_permissions"、"scripting "和 "declarativeNetRequest "等权限实现了这一目标。

该活动另一个令人担忧的方面是它与之前的供应链攻击相似，攻击者利用可信软件来传播恶意软件。通过使用浏览器扩展更新机制，攻击者可以绕过传统的安全措施。

目前，已从官方平台上删除了确定的扩展程序。不过，建议用户在安装新的扩展程序之前，不要完全依赖对扩展程序的正面评价。