Chrome擴充功能遭供應鏈攻擊 如何防止資料外洩？

編譯／Cynthia

Google Chrome擴充功能近日爆發供應鏈攻擊，已對35款擴充功能造成嚴重影響，受害用戶超過260萬人。攻擊者利用開發者權限進行惡意更新，植入惡意程式碼，導致資料竊取與憑證洩漏，甚至波及廣告帳戶及個人隱私安全。此次攻擊範圍廣泛，包括OpenAI ChatGPT的API金鑰也遭竊取。專家警告，這不僅揭示供應鏈攻擊的風險，也顯示出管理擴充功能安全性的重要性，用戶和開發者都應更加留意相關防護措施，以減少潛在損失。

釣魚攻擊揭露供應鏈漏洞

針對Chrome擴充功能的供應鏈攻擊爆發，是攻擊者透過釣魚電子郵件，假冒Google Chrome Web Store支援團隊，聲稱開發者的擴充功能因違反政策將被下架，誘使開發者授權名為「Privacy Policy Extension」的惡意應用程式。一旦取得授權，攻擊者便掌控擴充功能的發布權限，並植入惡意程式碼（如background.js和context_responder.js）。這些腳本會向指揮與控制（C2）伺服器傳送數據、下載配置檔，並竊取API金鑰、Cookie及其他敏感資料，對廣告帳戶和用戶安全構成重大威脅。

更多新聞：果粉注意！分析2.2億台設備發現 iOS網路釣魚攻擊比例高於Android

受害擴充功能與攻擊行為

此次攻擊以Facebook Business用戶為主要目標，並波及OpenAI ChatGPT的API金鑰與身份認證資料。受影響的35款擴充功能中，包含GraphQL Network Inspector、Proxy SwitchyOmega（V3）、VidHelper–Video Download Helper等工具。2024年12月26日，Cyberhaven首次揭露此攻擊，指出攻擊基礎設施早在同年3月已啟動，攻擊者透過多個C2網域傳輸資料，主要IP地址為149.28.124[.]84及45.76.225[.]148。專家建議用戶檢查Chrome本機儲存是否存在「graphqlnetwork_ext_manage」等關鍵字，以確認是否受影響。

用戶與開發者的應對措施

用戶應立即解除安裝或更新受影響的擴充功能至2024年12月26日後的安全版本，並重設重要帳戶密碼（如Facebook及ChatGPT）。同時，清除瀏覽器數據並將設定重置為預設狀態，並定期檢查帳戶是否有異常活動。對開發者而言，應啟用多因素驗證（MFA）保護帳戶安全，謹慎審查OAuth授權請求，並定期檢查程式碼避免未經授權的修改。在企業層面，建議加強員工使用瀏覽器擴充功能的規範，並落實更嚴格的控制機制。此外，應在CI/CD流程中整合應用程式安全措施，全面提升供應鏈安全，減少攻擊風險。

資料來源：Cyber Security News

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

瀏覽 209 次