1 月 1 日消息，科技媒體 bleepingcomputer 昨日（2024 年 12 月 31 日）發布博文，報道稱在最新發現網絡釣魚攻擊中，攻擊者成功入侵至少 35 個擴展程序，并注入數據竊取代碼，影響約 260 萬用戶。

根據追蹤數據，該網絡釣魚工具活動最早可以追溯到 2024 年 12 月 5 日，不過釣魚活動所使用的域名和控制系統可以追溯到 2024 年 3 月。

初期報告集中在網絡安全公司 Cyberhaven 的擴展程序上，不過后續深入調查，發現在谷歌 Chrome 擴展程序商城上，至少有 35 款擴展程序被注入相同惡意代碼，影響大約 260 萬人。

簡要介紹下該惡意攻擊方式，攻擊者偽裝成 Google 官方發送郵件，聲稱擴展程序違反了 Chrome Web Store 政策，需要開發者點擊鏈接進行處理。

郵件域名包括 supportchromestore.com、forextensions.com和 chromeforextension.com等。

開發者點擊鏈接后，會被引導至一個偽造的 Google 登錄頁面，并被要求授權名為“Privacy Policy Extension”的惡意 OAuth 應用。該應用可以管理 Chrome Web Store 擴展程序，一旦授權，攻擊者就能控制開發者的賬戶。

獲取賬戶控制權后，攻擊者會向擴展程序注入名為“worker.js”和“content.js”的惡意文件，這些文件包含竊取 Facebook 賬戶數據的代碼。

惡意代碼會竊取用戶的 Facebook ID、訪問令牌、賬戶信息、廣告賬戶信息和商業賬戶信息等。此外，還會記錄用戶的鼠標點擊事件，以繞過 Facebook 的雙因素認證和 CAPTCHA 機制。

此次攻擊凸顯了網絡釣魚攻擊的隱蔽性和危害性，即使是安全意識較強的開發者也可能中招。攻擊者利用 OAuth 授權流程的漏洞，在不獲取用戶憑據的情況下竊取數據，值得警惕。對于用戶來說，應謹慎對待來自 Google 的郵件，仔細核實郵件來源和鏈接，避免授權不明應用。