科技媒体 bleepingcomputer 昨日发布博文，报道称在最新发现网络钓鱼攻击中，根据追踪数据，该网络钓鱼工具活动最早可以追溯到 2024 年 12 月 5 日，不过钓鱼活动所使用的域名和控制系统可以追溯到 2024 年 3 月。

　　初期报告集中在网络安全公司 Cyberhaven 的扩展程序上，不过后续深入调查，发现在谷歌 Chrome 扩展程序商城上，简要介绍下该恶意攻击方式，攻击者伪装成 Google 官方发送邮件，声称扩展程序违反了 Chrome Web Store 政策，需要开发者点击链接进行处理。

　　邮件域名包括 和 chromeforextension.com 等。

　　开发者点击链接后，会被引导至一个伪造的 Google 登录页面，并被要求授权名为“Privacy Policy Extension”的恶意 OAuth 应用。该应用可以管理 Chrome Web Store 扩展程序，一旦授权，攻击者就能控制开发者的账户。

　　获取账户控制权后，攻击者会向扩展程序注入名为“worker.js”和“content.js”的恶意文件，这些文件包含窃取 Facebook 账户数据的代码。

　　恶意代码会窃取用户的 Facebook ID、访问令牌、账户信息、广告账户信息和商业账户信息等。此外，还会记录用户的鼠标点击事件，以绕过 Facebook 的双因素认证和 CAPTCHA 机制。

　　此次攻击凸显了网络钓鱼攻击的隐蔽性和危害性，即使是安全意识较强的开发者也可能中招。攻击者利用 OAuth 授权流程的漏洞，在不获取用户凭据的情况下窃取数据，值得警惕。对于用户来说，应谨慎对待来自 Google 的邮件，仔细核实邮件