• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:285

●重點摘要
1. 繼 Copyfish 之後，擁有1,044,000用戶的知名 Chrome 擴充功能「Web Developer」也遭類似手法劫持散播惡意廣告。
2. 該擴充功能開發者緊急聲明遭受不明駭客以電子郵件社交工程，獲取他的 Google 帳號，並上傳「特製」後的擴充功能，更新為版本0.4.9。
3. 開發者 Chris Pederick 表示在星期二時收到一封聲稱來自 Google 的警告，要求更新他的擴充程式以符合新的 Google 商店政策。
4. 相同不幸地，該開發者也在信件內連結的頁面輸入了開發者的 Google 帳密，直到隔天被告知，有「新版本」的擴充程式在上午被上傳了，「也」才驚覺有異。
5. 該惡意擴充程式能會從網頁中獲取 JavaScript 程式碼，並將遭受感染的 Chrome 用戶的瀏覽器視窗中強制嵌入惡意廣告代碼。
6. 該惡意擴充程式幾乎可以存取用戶瀏覽器上發生的所有事情，譬如可以閱讀所有網站內容、攔截流量、監控點擊和輸入資料或任何可以想像做到的任何事情。 7. 開發者表示在五到六個小時的時間內發現這件事後，便立即從 Chrome商店下載，並在一小時後修復了該擴充功能， 更新版本為0.5。

●TWCERT/CC強烈建議使用該擴充功能之網站開發人員立即將其更新為版本0.5以上，並有使用到0.4.9版本之用戶應考慮更改其所有網路帳戶的密碼，以及清除這期間存取的網站上使用的登錄資料和 Cookie。

攻擊手法：社交工程

參考連結：

http://thehackernews.com/2017/08/chrome-extension-for-web-developers.html
https://www.theregister.co.uk/2017/08/03/web_developer_plug_creator_confirms_phishing_attack_and_hes_not_alone/