瀏覽器擴充功能遭到駭客攻擊並投毒並不是新鮮事，但網路安全公司發布的擴充功能還被駭客攻擊並投毒就讓人有些匪夷所思了啊，好歹也是網路安全公司防禦水平多少有些影響名聲。位於美國加利福利亞州的Cyber​​haven 是家致力於為企業提供資料安全防護的軟體開發商，其產品包括偵測潛在威脅避免企業員工外洩敏感資料。

日前該公司披露員工遭到駭客的網路釣魚，這名員工帳號是Chrome Web Store 的管理員，也就是可以控制其擴充功能的更新。

駭客劫持管理員帳號後發布攜帶惡意程式碼的Cyber​​haven 擴充功能24.10.4 版，該版本可以竊取使用者經過驗證的會話和Cookies 等資料。

所幸在被劫持1 小時左右其內部安全團隊就發現問題並立即刪除了惡意擴展程序，發布此次公告主要是提醒使用其擴展程序的客戶檢查潛在的數據洩露風險。

值得注意的是安全研究人員Jaime Blasco 針對此事件進行調查時還發現令人驚訝的問題：發動攻擊的駭客在同一時間還會對其他擴充功能展開攻擊。

受到攻擊的擴充功能包括Internxt VPN、VPNCity、Uvoice、ParroTalks 等，也就是說駭客已經提前透過釣魚方式拿到眾多擴充功能的管理權限，然後在某個時候批量上架攜帶惡意程式碼的新版本。

但受影響的其實也不只是上述擴展程序，研究人員注意到駭客使用的域名和IP 關聯了多個擴展程序，只不過只有上述擴展程序在檢測時發現了惡意代碼。

所以這裡我們又要提到一個老生常談的問題：儘管Google經常發文聲稱透過各種安全機制檢查擴充功能的安全性，但事實證明Google無法徹底解決擴充功能的安全性問題。

對用戶而言就是不要輕信任何擴展程序，因為任何一個擴展程序都可能在某個時候遭到攻擊然後攜帶惡意代碼，遺憾的是這也是用戶無法解決的問題，畢竟總不能所有擴展程序都不安裝使用。