摘要：在年末假期期间，研究人员发现谷歌Chrome网上应用店中至少有33个恶意浏览器扩展，窃取约260万台设备的敏感数据。这一发现源于数据丢失防护服务Cyberhaven的调查，揭示出一款被400,000名用户使用的扩展已被更新为恶意代码，旨在盗取敏感信息。问题扩展

在年末假期期间，研究人员发现谷歌Chrome网上应用店中至少有33个恶意浏览器扩展，窃取约260万台设备的敏感数据。这一发现源于数据丢失防护服务Cyberhaven的调查，揭示出一款被400,000名用户使用的扩展已被更新为恶意代码，旨在盗取敏感信息。问题扩展版本24.10.4在31小时内可用，期间Chrome浏览器会自动下载并安装有害代码。Cyberhaven迅速发布了安全更新以降低风险。该扩展原本旨在防止用户泄露敏感信息，但调查显示它与恶意网站协同工作，窃取用户的浏览器Cookie和凭据。恶意代码通过向开发者发送网络钓鱼邮件传播，警告称扩展不符合谷歌的条款。

在许多人庆祝年末假期之际，一群专注的研究人员夜以继日地工作，揭露了一个令人担忧的发现：在谷歌的Chrome网上应用店中，至少有33个浏览器扩展，其中一些已经活跃了长达18个月，正悄然窃取约260万台设备的敏感数据。这个令人震惊的情况得益于数据丢失防护服务Cyberhaven的发现，该服务识别出一款被400,000名客户使用的Chrome扩展已被更新为恶意代码，旨在窃取他们的敏感信息。

这款问题扩展被识别为版本24.10.4，在总共31小时内可用，开始于协调世界时12月25日凌晨1:32，并于12月26日凌晨2:50结束。在这一关键时段，正在运行Cyberhaven扩展的Chrome浏览器将自动下载并安装有害代码。对此次安全漏洞，Cyberhaven迅速发布了版本24.10.5，几天后又推出了版本24.10.6，以降低恶意代码带来的风险。

Cyberhaven扩展专为防止用户无意中在电子邮件或访问的网站中输入敏感信息而设计。对版本24.10.4的调查显示，它被设置为与从恶意注册的网站cyberhavenext[.]pro下载的各种有效载荷协同工作，以制造与合法公司关联的假象。Cyberhaven恢复的一个有效载荷被发现搜索用户设备中的浏览器Cookie和facebook.com的认证凭据。此外，安全公司Secure Annex识别出的另一个有效载荷则负责窃取chatgpt.com的Cookie和凭据；然而，Cyberhaven指出，该有效载荷似乎并未按预期工作。恶意版本通过在平安夜向谷歌列出的Cyberhaven扩展开发者发送的网络钓鱼邮件传播，警告称该扩展不符合谷歌的条款，除非开发者立即采取行动，否则将被撤销。

来源：老孙科技前沿一点号