https://event.flydove.net/edm/web/infosecurity01/325454
https://event.flydove.net/edm/web/infosecurity01/325454

新聞

Chrome 擴充程式遭駭事件突顯軟體供應鏈安全的重要性

2025 / 01 / 07
編輯部
Chrome 擴充程式遭駭事件突顯軟體供應鏈安全的重要性
聖誕夜當晚,Cyberhaven 的開發團隊收到一封可疑電子郵件。該郵件聲稱來自 Google,並表示公司的 Chrome 擴充套件因違反中繼資料(metadata)使用規定,將被撤銷使用權限。

當一名員工點擊「查看政策」連結後,頁面導向至 Google 的授權介面。該介面要求為一個名為「Privacy Policy Extension」的第三方應用程式授予權限,其中包括查看、編輯、更新和發布至 Chrome 線上應用程式商店的權限。公司工程團隊初步分析發現,攻擊者取得存取權限後,立即上傳了修改版的 Chrome 擴充套件。這個惡意版本除了能竊取瀏覽器中的 Facebook 存取權杖(access token),還安裝了滑鼠點擊監聽器,疑似用於規避驗證碼(captcha)機制。

Cyberhaven 執行長 Howard Ting 在聲明中指出,這個惡意的 Chrome 擴充套件僅活躍了約一天就被發現。Ting 表示,在此期間,使用受感染擴充套件的瀏覽器可能導致特定網站的 Cookie 和已驗證工作階段遭竊取。雖然調查仍在進行中,但初步發現攻擊者主要鎖定社群媒體廣告平台和 AI 平台的登入資訊

儘管 Cyberhaven 是最早發現此攻擊的受害者之一,但並非唯一受害者。根據瀏覽器擴充套件管理服務商 Secure Annex 創辦人 John Tuckner 分析,目前有 36 個不同的擴充套件與此攻擊手法、技術或基礎設施有關,總計影響約 260 萬名使用者。在 Cyberhaven 偵測到攻擊之前,多數公司的開發人員和獨立程式設計師都未意識到這類供應鏈攻擊的資安風險。

攻擊者鎖定供應鏈

這波攻擊凸顯企業在確保軟體供應鏈安全時所面臨的挑戰,而大多數企業對員工日常使用的軟體和雲端服務缺乏充分掌握。

現代的影子IT(Shadow IT)已超越單純的軟體範疇。員工使用的每個 SaaS 應用程式,包括 Chrome 擴充套件和整合式開發環境(IDE)的外掛程式,都被賦予大量未知的存取權限。在 SaaS 生態系中,存在許多尚未被注意到的新型攻擊面。

雖然 Google 已更新 Chrome 擴充功能的安全和隱私標準,但攻擊者和研究人員仍不斷找到方法,透過擴充套件生態系統向使用者瀏覽器注入惡意程式碼。例如,2021 年一個用於關閉舊分頁的 Chrome 擴充套件遭駭客集團收購後,被用來在約 200 萬名使用者的系統中植入惡意程式碼,最終被 Google 下架。學術研究人員也發現了繞過 Google 安全審查機制的方法,得以將惡意 Chrome 擴充套件發布到 Chrome 線上應用程式商店。

根據史丹佛大學研究人員的研究發現,數億名 Chrome 使用者的瀏覽器中都安裝了具有資安疑慮的擴充套件(SNE),這些擴充套件可能包含惡意程式、資安漏洞,或違反 Google 的政策規定。

透過社交工程獲取存取權限

在開發者網路釣魚攻擊事件中,駭客從 Chrome 線上應用程式商店蒐集開發者的電子郵件地址,並針對性地發動網路釣魚攻擊。一旦開發者受騙上當,其程式碼就會遭到入侵。

值得注意的是,攻擊者不需要竊取開發者的帳號密碼,只要說服開發者授予必要的權限即可達成目的。

駭客所使用的 OAuth 網釣手法具有極高威脅性,其甚至能突破 Cyberhaven 所實作的進階防護機制(Advanced Protection)──此為目前最先進的身分驗證系統之一。由於開發者的電子郵件地址在 Chrome 線上應用程式商店中作為主要聯絡方式公開顯示,大幅提高了遭受攻擊的風險,因此開發者必須提高警覺。

攻擊者能在單一個 OAuth 權限請求中要求多項授權,使得一個擴充套件可能隱藏多種惡意行為。

許多擴充套件容易遭到入侵、被濫用獲利、所有權轉移,或是缺乏資安維護,這個弱點顯然已被駭客看準。然而,對大多數組織而言,管理瀏覽器擴充套件在資安計畫中的優先順序偏低。儘管業界普遍認知擴充套件可能帶來威脅,但因為尚未發生重大事件,因此未被列為優先處理事項。

強化擴充套件的安全防護

瀏覽器擴充套件管理服務商 Secure Annex 創辦人 John Tuckner 呼籲 Chrome 線上應用程式商店應在發生更嚴重事件前提高營運透明度。他指出,目前回報可疑擴充套件的機制雖然可能已經超載,但往往得不到回應,也缺乏追蹤紀錄。

他建議,開發重要瀏覽器擴充套件的開發者不應完全依賴應用程式商店來偵測攻擊,而應定期監控軟體部署情況。由於入侵擴充套件必須透過發布新版程式碼,因此實施同儕審查和軟體發布核准流程能及時發現異常部署。此外,開發者應採用具備網釣偵測功能的電子郵件安全服務,將日常使用的電子郵件與開發帳號分開管理,並要求管理員核准所有新的存取請求。

Cyberhaven 已發布一系列腳本,協助調查其設備受攻擊的程度。該公司在12月31日發布工具的部落格文章中表示,在協助客戶應對攻擊時,發現缺乏能快速準確評估影響範圍的工具。這些腳本可以搜尋惡意擴充套件竊取資料的相關紀錄。

攻擊者深知企業在端點防護方面已投入大量資金,但對於 SaaS 應用程式和 Chrome 瀏覽器等其他領域,企業普遍缺乏充分的可見度和安全控制機制。這次的 Chrome 資安事件很可能只是未來類似攻擊的前兆。

本文轉載自 DarkReading。