HackerNews 编译，转载请注明出处： 一起大规模数据窃取活动曝光：287 款 Chrome 扩展程序秘密窃取全球约 3740 万用户的浏览历史。 代号 qcontinuum1 的研究人员发现，受影响用户约占全球 Chrome 用户总量的 1%，这是一起波及数百万网民的重大隐私泄露事件。 研究人员搭建了基于 Docker 容器与中间人代理的自动化扫描系统，用于检测可疑网络行为。 该系统监控扩展程序的外发流量，判断数据传输是否与 URL 长度相关 —— 这是识别浏览历史窃取行为的核心特征。 中间人代理拦截恶意 Chrome 扩展程序流量（来源：GitHub） 这些恶意扩展使用多种混淆技术掩盖其窃取行为。 部分扩展采用 ROT47 编码，还有部分使用 AES-256 加密搭配 RSA 密钥对，对浏览数据加密后再传输至远程服务器。 知名扩展程序 “Poper Blocker”“Stylish”“BlockSite” 均被列入恶意程序名单。调查发现，多家数据经纪商参与了用户信息的收集活动。 知名网络分析公司 Similarweb 运营多款扩展，包括其官方产品 “Website Traffic & SEO Checker”，该扩展拥有 100 万用户。 研究还发现与 Similarweb 关联的 Big Star Labs，其管控的扩展程序影响 370 万用户。 即便安装量达 600 万的正规安全工具 Avast Online Security，也因存在数据收集行为被标记。 隐私安全影响 被窃取的浏览数据除用于精准广告外，还会带来多重严重风险。 若员工安装看似无害的办公类扩展，这些程序会窃取内部 URL、内网地址与 SaaS 平台面板链接，为企业间谍活动提供可乘之机。 URL 通常包含个人标识信息，恶意分子可借此对特定人员实施精准攻击。研究人员搭建蜜罐陷阱，监测到第三方爬虫工具在主动收集被盗数据。 扩展程序泄露 Honey URL（来源：GitHub） 与 Kontera 等公司关联的多个 IP 地址反复访问蜜罐，表明存在一个利用用户浏览历史牟利的完整黑色产业链。 用户应立即核查已安装的 Chrome 扩展，卸载研究报告中列出的恶意程序。Chrome 网上应用店约有 24 万款扩展，人工逐一核验难度极大。 依据 qcontinuum1 的安全建议，专家推荐仅安装可审核代码的开源扩展，并在安装前仔细核查权限申请。 研究团队刻意未披露具体技术细节，避免攻击者快速调整作案手段。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用一个危险的漏洞针对“氛围开发者”（vibe coders）。Cursor、Windsurf 和其他 AI 驱动的代码编辑器无法访问 VS Code Marketplace（Visual Studio 市场），转而依赖风险更高的第三方平台，这些平台上恶意扩展和关键漏洞盛行。 安全公司 Secure Annex 的研究员 John Tuckner 发现了一个已被开发者下载 20 万次的恶意扩展。该扩展针对 Solidity 开发者，他们使用这种编程语言在以太坊和其他区块链上实现智能合约。 该扩展没有任何实用功能，反而运行 PowerShell 脚本，使攻击者能够远程访问受感染的计算机。“它甚至没有为用户做任何有意义的事情，只是安装了远程访问工具，”该研究员在一篇博客文章中说。 Tuckner 警告氛围开发者，他们目前使用的平台缺乏基本的安全扫描和审核机制。“分析这个扩展并不需要什么高深技术。这些扩展本应被最基本的安全扫描拦截，根本不该出现在市场中。如果连这些都没被拦住，对于那些稍微复杂一点的恶意扩展还能有什么希望？”该研究员质问道。 该恶意软件是在 Open VSX 注册表上发现的，这是一个第三方市场，随着 AI 代码编辑器的兴起而大幅流行。“我们最喜欢的大多数氛围编辑器都在使用 Open VSX，”该研究员指出。Open VSX 拥有超过 800 万开发者用户，为氛围开发者提供了他们原本无法获取的扩展。 氛围开发者无法为 Cursor 使用微软的 Visual Studio Marketplace 由于法律条款的细微差别，基于开源 VS Code 项目构建的替代代码编辑器被禁止访问官方的微软 Visual Studio Marketplace，而后者是 VS Code 开发者的首选来源。该市场仅限微软自家产品使用。“这意味着像 Cursor、Windsurf 和其他 VS Code 分支版编辑器因此默认转向其他市场，”Tuckner 解释道。这些限制使替代编辑器在为用户提供扩展时面临艰难选择。 Open VSX 应运而生，成为一个没有微软限制的替代市场，为氛围开发者提供了生命线。在这里，任何人都可以不受限制地发布或下载扩展。但不可避免地，黑客试图利用这一点。该研究员警告说，开放性带来了微软更严格管理的市场所没有的风险。“虽然微软的市场也有自身的问题，但它受益于企业监督、自动化扫描和审核流程，这些有助于在恶意扩展到达用户之前将其拦截。” 然而，Open VSX 对披露反应迅速：在三个小时内，它移除了被报告的恶意扩展（solidityai.solidity 和 soliditysupport.solid），并采取了额外措施停用了其发布者账号。 重大 Open VSX 漏洞曝光 2025年6月26日，一个影响 Open VSX 自动发布系统的关键漏洞被发现。Koi Security 披露，潜在攻击者可能滥用该漏洞来完全控制市场，并向任何扩展发布有害更新。这可能会危及数百万氛围开发者。“一个简单的漏洞就将数百万开发者置于前所未有的巨大风险之中，”Koi Security 研究人员在一份报告中表示。 存在缺陷的自动发布机制暴露了特权凭证，“包括一个属于 @open-vsx 服务账户的秘密令牌，该令牌拥有在市场中发布（或覆盖）任何扩展的权限。”“此令牌是 Open VSX 注册表的超级管理员凭证——它可以发布新扩展，更新或覆盖现有扩展。从攻击者的角度来看，那就是控制了一个完整生态系统的供应链。” 提供的时间线显示，修复该问题用了六轮修复和超过三个月的时间。维护该市场的 Eclipse 基金会虽未发现实际入侵证据，但作为预防措施主动停用了 81 个扩展。 Koi Security 敦促开发者默认将从市场、应用商店或注册表下载的任何软件视为不可信。“我们的研究团队每天都在 Open VSX、微软自家的 VSCode Marketplace，甚至私有企业市场中，发现存在漏洞和真实世界中的恶意扩展。问题具有普遍性：只要是代码，并且在你的环境中运行，它就是你的攻击面的一部分。”研究人员表示。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文