駭客透過瀏覽器延伸套件散布惡意軟體的現象,最近一起是針對加密貨幣錢包Trust Wallet的Chrome延伸套件事故,攻擊者透過NPM軟體供應鏈攻擊活動Sha1-Hulud(Shai-Hulud 2.0),竊得開發團隊的特定API金鑰,而能直接於Chrome Web Store冒名發布惡意套件。不過,也有駭客組織採取自行上架套件的策略,建立用戶的長期信任,待時機成熟再透過版本更新機制,部署有問題的惡意版本。
資安公司Koi Security近日公布Zoom Stealer攻擊行動,中國駭客組織DarkSpectre針對Chrome、Edge,以及Firefox用戶而來,將惡意程式偽裝成會議工具並上架延伸套件市集Chrome Web Store、Edge Add-ons,以及Firefox Add-ons,目的是蒐集企業組織的會議情報,並建立能夠搜尋的資料庫。一旦使用者不慎安裝這些延伸套件,瀏覽器就會要求超過28種視訊會議平臺的存取授權,並透過WebSocket將線上會議的內容傳送給攻擊者,這些有問題的套件已被下載220萬次。值得留意的是,前幾個月出現的攻擊活動ShadyPanda與GhostPoster,也是這組人馬所為,三波活動的惡意套件總計被安裝了880萬次。
針對發現Zoom Stealer的過程,起因是Koi Security對於ShadyPanda進行後續追蹤,結果發現名為Twitter X Video Downloader的怪異套件,此套件與ShadyPanda共用核心基礎設施,但特徵與行為卻有所不同,不僅會監控使用者及外洩資料,還會進一步從視訊會議平臺收集會議情報,因此該公司認定是獨立於ShadyPanda的攻擊行動,並命名為Zoom Stealer,他們一共找到18個惡意套件,這些套件皆具備駭客宣稱的功能,其中一款稱為Chrome Audio Capture的套件,下載次數最多,突破80萬次。
Koi Security也公布另外兩起活動的最新調查結果,其中,ShadyPanda的惡意套件先前確認已被下載430萬次,他們後續找到另外一百多個有關的延伸套件,有9個出現明顯的惡意行為,另有85個目前無害的套件,駭客後續將會透過更新進行武器化,相關套件累積被下載560萬次;對於GhostPoster活動,他們最初發現駭客針對Firefox用戶,後續獲報有Opera瀏覽器用戶受害的情況,DarkSpectre於延伸套件市集Opera Addons上架名為Google Translate by charliesmithbons的套件,已被下載約100萬次。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02