Sekoia对开发者遭受的用户大规模网络钓鱼活动进行了调查，重点调查了该活动所使用的面临基础设施，相似活动可以追溯到2023年 ，链攻已知的击威最新活动发生在2024年12月30日。

到目前为止 ，胁数响已有数十名Chrome扩展开发者成为攻击的百万受害者，这些攻击的人或目的在于在从ChatGPT和Facebook for Business等网站窃取API密钥、会话cookie和其他身份验证令牌
。受影

总部位于加利福尼亚的用户Cyberhaven是此次攻击的源码下载受害者之一。该公司开发了一款基于云的面临数据保护工具。2024年节礼日期间，链攻Cyberhaven发现其开发者账户被入侵，击威这一事件随后被广泛报道。胁数响

Booz Allen Hamilton分析了Cyberhaven的百万事件，并支持了供应商的人或怀疑，认为这是更广泛活动的一部分 。附带的分析报告中揭示了一长串可能受到影响的其他扩展，亿华云潜在受影响的最终用户数量可能达到数百万  。在Sekoia的研究中也发布了一份不太全面的列表  ，但两个列表中出现了相同的扩展。

根据Booz Allen Hamilton的报告 ，许多可能受影响的扩展在撰写报告时似乎已从Chrome网上应用店中撤下。许多其他扩展的页面显示它们自Cyberhaven事件以来已经进行了更新，尽管很少有扩展公开承认事件 。一个例外是Reader Mode，高防服务器其创始人Ryzal Yusoff向大约30万用户写了一封公开信 ，告知他们发生在12月5日的入侵 
。

Yusoff表示
：“2024年12月5日 ，我们的开发者账户因一封模仿Chrome网上应用店官方通信的网络钓鱼电子邮件而受到入侵
。此次入侵允许未经授权的第三方将恶意版本的Reader Mode扩展（1.5.7 和 1.5.9）上传到Chrome网上应用店。攻击于2024年12月20日被发现，当时Google发布了警告，识别了与此入侵相关的网络钓鱼尝试 。扩展的恶意版本可能包含未经授权的云计算脚本，旨在收集用户数据或执行其他有害操作
。如果您在2024年12月7日至12月20日期间安装或更新了Reader Mode扩展 ，您的浏览器可能已受到影响 。”

总部位于奥斯汀的Nudge Security的联合创始人兼首席技术官Jaime Blasco也在一系列在线帖子中提到了他怀疑受到入侵的扩展  ，其中也有许多出现在Booz的报告中。

根据Yusoff和Sekoia的说法，攻击者通过伪装成Chrome网上应用店开发者支持的钓鱼邮件，模仿官方通信，香港云服务器针对开发团队 。

报告中出现的示例电子邮件显示，攻击者声称扩展可能因虚假规则违规（例如扩展描述中的不必要细节）而被从Chrome中撤下 。受害者被诱骗点击伪装成Chrome网上应用店政策解释的链接 ，该链接指向一个合法的Google帐户页面 ，提示他们批准恶意OAuth应用程序的访问权限 。一旦开发者授予应用程序权限，攻击者便获得了上传被入侵扩展到Chrome网上应用店所需的一切 。

研究人员表示 ，开发者的免费模板电子邮件可能是从Chrome网上应用店收集的，因为这些信息在那里可能可以被访问。

通过与网络钓鱼邮件关联的两个域名 ，Sekoia能够发现该活动中使用的其他域名以及可能涉及的先前攻击的域名。作为攻击者指挥和控制（C2）服务器使用的域名仅托管在两个IP地址上，研究人员通过被动DNS解析认为他们发现了可能在此次活动中被入侵的所有域名。

Sekoia表示，揭露最新攻击中使用的域名和2023年使用的域名“相对简单”，因为每次都使用了相同的注册商（Namecheap） ，DNS设置和TLS配置也保持一致。

Sekoia在博客中写道：“域名命名约定及其创建日期表明，攻击者的活动至少自2023年12月以来就已开始 。可能通过SEO投毒或恶意广告推广了重定向到所谓恶意Chrome扩展的网站。”

Sekoia分析师认为，这个威胁行为者专门传播恶意Chrome扩展以收集敏感数据 。在2024年11月底，攻击者将其作案方式从通过虚假网站分发自己的恶意Chrome扩展转变为通过网络钓鱼邮件、恶意OAuth应用和注入恶意代码到被入侵的Chrome扩展来入侵合法的Chrome扩展 。

参考链接：https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/