著名网盘MEGA Chrome浏览器扩展程序遭黑客窃取敏感信息

事件概述

　　攻击时间：2018年9月4日格林威治标准时间14点30分，攻击者向谷歌Chrome网上商店上传了恶意版本的MEGA Chrome扩展程序（版本号3.39.4）。

　　攻击手段：恶意扩展程序通过伪装成官方版本，诱导用户安装或自动更新。安装时会请求额外权限（如“读取并更改访问网站的所有数据”），若用户授权，程序将窃取特定网站的登录凭据及加密货币钱包私钥。

　　影响范围：

　　目标网站：亚马逊（amazon.com）、微软（live.com）、Github（github.com）、谷歌（google.com，用于Webstore登录）、MyEtherWallet（myetherwallet.com）、MyMonero（mymonero.com）、Idex.market等。

　　数据类型：用户名、密码、电子邮件等登录信息，以及加密货币钱包的私钥。

　　用户规模：专家推测数百万用户可能受影响，但具体数量未明确。

恶意程序行为分析

　　权限请求：恶意版本会请求超出正常范围的权限，例如监控用户访问的所有网站数据，而官方版本无需此类权限。

　　数据窃取机制：

　　表单监控：程序会监控向目标网站提交的登录表单，或包含特定关键词（如“用户名”“密码”）的表单变量。

　　数据传输：窃取的凭据通过HTTP POST请求发送至乌克兰服务器（域名：megaopac.host）。

　　加密货币攻击：针对加密货币钱包网站（如MyEtherWallet），程序会注入恶意JavaScript代码，尝试窃取用户私钥。

　　排除范围：MEGA官方强调，其自身服务（mega.nz）的凭据未被泄露。

事件响应与修复

　　官方行动：

　　修复版本发布：事件发生4小时后，MEGA在Chrome商店更新干净版本（3.39.5），受影响用户通过自动更新获得修复。

　　恶意版本下架：谷歌在事件发生5小时后从Chrome网上商店移除恶意扩展程序。

　　用户建议：

　　卸载恶意版本：立即卸载版本3.39.4，并确认当前安装版本为3.39.5或更高。

　　修改密码：更改所有可能受影响账户的密码，尤其是目标网站及加密货币钱包。

　　权限检查：审查Chrome扩展程序的权限，移除不必要的访问权限。

安全漏洞原因

　　签名机制缺陷：谷歌要求开发者上传扩展程序后由系统自动签名，而非由发布商签署。这一流程降低了攻击门槛，使恶意程序更易通过审核。

　　自动更新风险：若用户启用扩展程序自动更新功能，可能在不知情的情况下安装恶意版本。

其他注意事项

　　Firefox版本安全：MEGA的Firefox扩展程序未受影响，用户可继续使用。

　　直接访问官网安全：未通过Chrome扩展程序，直接访问MEGA官网（https://mega.nz）的用户不受影响。

　　凭据泄露范围：若用户在恶意程序活跃期间，通过其他扩展程序或方式以明文形式提交凭据（如直接表单提交或XMLHttpRequest），相关账户可能已被窃取。

安全建议与提醒

白帽汇安全研究院提醒用户：

• 卸载恶意版本并更新至最新版。
• 启用双重认证（2FA）增强账户安全性。
• 定期检查账户活动记录，及时发现异常登录。

　　长期安全实践：

• 谨慎授予扩展程序权限，避免过度授权。
• 使用密码管理工具生成并存储复杂密码。
• 关注安全公告，及时修复已知漏洞。