Sekoia對開發者遭受的大規模網絡釣魚活動進行了調查，重點調查了該活動所使用的基礎設施，相似活動可以追溯到2023年，已知的最新活動發生在2024年12月30日。

到目前為止，已有數十名Chrome擴展開發者成為攻擊的受害者，這些攻擊的目的在于在從ChatGPT和Facebook for Business等網站竊取API密鑰、會話cookie和其他身份驗證令牌。

受影響組織

總部位于加利福尼亞的Cyberhaven是此次攻擊的受害者之一。該公司開發了一款基于云的數據保護工具。2024年節禮日期間，Cyberhaven發現其開發者賬戶被入侵，這一事件隨后被廣泛報道。

Booz Allen Hamilton分析了Cyberhaven的事件，并支持了供應商的懷疑，認為這是更廣泛活動的一部分。附帶的分析報告中揭示了一長串可能受到影響的其他擴展，潛在受影響的最終用戶數量可能達到數百萬。在Sekoia的研究中也發布了一份不太全面的列表，但兩個列表中出現了相同的擴展。

根據Booz Allen Hamilton的報告，許多可能受影響的擴展在撰寫報告時似乎已從Chrome網上應用店中撤下。許多其他擴展的頁面顯示它們自Cyberhaven事件以來已經進行了更新，盡管很少有擴展公開承認事件。一個例外是Reader Mode，其創始人Ryzal Yusoff向大約30萬用戶寫了一封公開信，告知他們發生在12月5日的入侵。

Yusoff表示：“2024年12月5日，我們的開發者賬戶因一封模仿Chrome網上應用店官方通信的網絡釣魚電子郵件而受到入侵。此次入侵允許未經授權的第三方將惡意版本的Reader Mode擴展（1.5.7 和 1.5.9）上傳到Chrome網上應用店。攻擊于2024年12月20日被發現，當時Google發布了警告，識別了與此入侵相關的網絡釣魚嘗試。擴展的惡意版本可能包含未經授權的腳本，旨在收集用戶數據或執行其他有害操作。如果您在2024年12月7日至12月20日期間安裝或更新了Reader Mode擴展，您的瀏覽器可能已受到影響。”

總部位于奧斯汀的Nudge Security的聯合創始人兼首席技術官Jaime Blasco也在一系列在線帖子中提到了他懷疑受到入侵的擴展，其中也有許多出現在Booz的報告中。

冒充Chrome支持

根據Yusoff和Sekoia的說法，攻擊者通過偽裝成Chrome網上應用店開發者支持的釣魚郵件，模仿官方通信，針對開發團隊。

報告中出現的示例電子郵件顯示，攻擊者聲稱擴展可能因虛假規則違規（例如擴展描述中的不必要細節）而被從Chrome中撤下。受害者被誘騙點擊偽裝成Chrome網上應用店政策解釋的鏈接，該鏈接指向一個合法的Google帳戶頁面，提示他們批準惡意OAuth應用程序的訪問權限。一旦開發者授予應用程序權限，攻擊者便獲得了上傳被入侵擴展到Chrome網上應用店所需的一切。

研究人員表示，開發者的電子郵件可能是從Chrome網上應用店收集的，因為這些信息在那里可能可以被訪問。

調查基礎設施

通過與網絡釣魚郵件關聯的兩個域名，Sekoia能夠發現該活動中使用的其他域名以及可能涉及的先前攻擊的域名。作為攻擊者指揮和控制（C2）服務器使用的域名僅托管在兩個IP地址上，研究人員通過被動DNS解析認為他們發現了可能在此次活動中被入侵的所有域名。

Sekoia表示，揭露最新攻擊中使用的域名和2023年使用的域名“相對簡單”，因為每次都使用了相同的注冊商（Namecheap），DNS設置和TLS配置也保持一致。

Sekoia在博客中寫道：“域名命名約定及其創建日期表明，攻擊者的活動至少自2023年12月以來就已開始。可能通過SEO投毒或惡意廣告推廣了重定向到所謂惡意Chrome擴展的網站。”

Sekoia分析師認為，這個威脅行為者專門傳播惡意Chrome擴展以收集敏感數據。在2024年11月底，攻擊者將其作案方式從通過虛假網站分發自己的惡意Chrome擴展轉變為通過網絡釣魚郵件、惡意OAuth應用和注入惡意代碼到被入侵的Chrome擴展來入侵合法的Chrome擴展。

參考鏈接：https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/