网络安全公司的浏览器扩展，为何成了数据窃取工具？

最近，网络安全领域发生了一件颇具讽刺意味的事件：一家专业的数据安全公司，其自家的浏览器扩展程序竟被黑客植入后门，用于窃取用户信息。这起事件不仅涉及一家公司，更波及了多个我们可能正在使用的热门浏览器插件。它提醒我们，即便是来自可信来源的工具，也可能潜藏风险。

事件的核心：一次协同攻击

根据披露的信息，这并非孤立事件。我的理解是，至少五个谷歌Chrome浏览器的扩展程序在一次协同攻击中被入侵。攻击者向这些扩展程序注入了恶意代码，目的是窃取用户的敏感信息。

事件的起点是网络安全公司Cyber​​haven。攻击者首先通过钓鱼手段，成功入侵了该公司用于管理Chrome网上应用店账户的员工账号。随后，黑客利用这个权限，发布了带有恶意代码的Cyber​​haven扩展程序更新版本（24.10.4）。这个恶意版本包含的代码，能够将用户经过身份验证的会话和Cookie数据泄露到攻击者控制的域名。

受影响的扩展程序清单

在Cyber​​haven事件被披露后，安全研究人员的进一步调查发现了更多受害者。目前确认被植入同一恶意代码片段的扩展程序包括以下四个，它们都拥有相当数量的用户：

• Internxt VPN：一款宣称提供免费、加密、无限制流量的VPN服务，用户量约10,000名。
• VPNCity：一款注重隐私的VPN工具，用户量约50,000名。
• Uvoice：一款通过参与调查和分享电脑使用数据来赚取积分的服务，用户量约40,000名。
• ParrotTalks：一款专注于文本和信息搜索的工具，用户量约40,000名。

如果你正在使用上述任何一款扩展程序，安全专家的首要建议是立即将其卸载。

事件的处理与用户应对措施

在发现恶意软件后，Cyber​​haven的内部安全团队反应迅速，据称在一小时内就将其从应用商店中移除。随后，该公司于12月26日发布了纯净的修复版本v24.10.5。

对于用户而言，仅仅更新到最新版本可能还不够。官方给出的建议包括：撤销非FIDOv2标准的密码、轮换所有相关的API令牌，并仔细检查浏览器日志，以评估是否存在恶意活动。对于其他几款受影响的扩展用户，最稳妥的做法是直接卸载。如果不确定扩展是否安全，更广泛的建议是：卸载可疑扩展、重置重要账户的密码、清除浏览器数据，并将浏览器设置恢复为原始默认状态。

事件的启示与反思

这起事件打破了我们通常的信任假设——即来自知名安全公司或拥有大量用户的扩展程序必然是安全的。攻击者巧妙地选择了“供应链”中的薄弱环节：开发者的发布账户。一旦这个环节失守，原本用于保护用户的工具，瞬间就变成了窃取数据的渠道。

它给普通用户的启示是清晰的：我们需要对浏览器扩展保持必要的警惕，定期审视已安装的插件，尤其是那些需要较高权限（如读取网站数据、管理Cookie）的工具。在数字生活中，保持软件更新和关注安全动态，是保护自己的基础防线。