【安全资讯】恶意Chrome扩展程序窃取企业HR平台凭证，威胁大规模勒索攻击

概要：

近期，网络安全公司Socket发现了一场针对企业人力资源（HR）和企业资源规划（ERP）平台的恶意攻击活动。攻击者通过Chrome网上应用商店分发伪装成生产力或安全工具的恶意浏览器扩展程序，旨在窃取用户认证凭证并阻止安全管理员响应事件。尽管安装量仅约2300次，但窃取的企业级凭证可能为后续的大规模勒索软件和数据窃取攻击铺平道路，凸显了供应链攻击对企业关键系统的严重威胁。

主要内容：

Socket公司识别出五个针对Workday、NetSuite和SAP SuccessFactors平台的恶意Chrome扩展程序。这些扩展程序由不同的发布者名义上传，但共享相同的基础设施、代码模式和攻击目标，表明这是一次协同行动。其攻击手法主要分为三类：将身份验证Cookie外泄至远程服务器、通过DOM操作屏蔽安全管理页面，以及进行双向Cookie注入以实现直接会话劫持。

其中，Data By Cloud 2和Tool Access 11是较为突出的恶意扩展。它们被宣传为提供批量管理工具或增强安全控制的工具，以此诱骗用户安装。一旦安装，它们会持续窃取名为“__session”的认证Cookie，这些Cookie包含了用户在目标平台上的有效登录令牌，并每60秒将其发送到攻击者的命令与控制（C2）服务器。

更危险的是，这些扩展会主动阻止用户访问关键的安全管理页面。Tool Access 11针对44个管理页面，Data By Cloud 2则扩展到56个，覆盖了身份验证策略、密码管理、双因素认证设备控制和安全审计日志等功能。通过检测页面标题并清除内容或重定向用户，攻击者可以阻止合法管理员在安全事件发生时采取应对措施。

攻击链条中最具威胁的一环来自Software Access扩展，它实现了双向Cookie操纵。除了窃取会话令牌，该扩展还能从攻击者服务器接收被盗的Cookie并直接注入浏览器。这使得攻击者无需用户名、密码或多因素认证码即可劫持已认证的会话，实现即时账户接管。目前，相关扩展已被报告给谷歌并下架，受影响的用户需更改密码并上报安全事件。