瀏覽器擴充套件供應鏈攻擊:DarkSpectre 威脅下的使用者安全風險與防護建議
近期,一個被資安研究人員追蹤為 DarkSpectre 的中國背景駭客組織,針對 Google Chrome、Microsoft Edge 以及 Mozilla Firefox 使用者發動大規模惡意軟體散布行動,引發資安界高度關注。
該組織主要透過「瀏覽器擴充套件供應鏈攻擊」的方式進行滲透。其中,最具代表性的案例之一,是針對 Trust Wallet 的 Chrome 擴充套件事件。攻擊者結合 NPM 軟體供應鏈攻擊行動 Shai-Hulud(又稱 Shai-Hulud 2.0),竊取開發團隊的關鍵 API 金鑰,進而能在 Chrome Web Store 上冒名發布惡意擴充套件,造成嚴重風險。
DarkSpectre 的攻擊手法解析
DarkSpectre 採用高度隱蔽且具長期性的策略,其典型攻擊流程如下:
-
先發布功能正常的擴充套件
初期版本不含惡意行為,藉此累積下載量、使用者評價與官方市集信任度。 -
取得瀏覽器市集認證與排名優勢
通過平台初始審核後,成功建立「可信任擴充套件」的外觀。 -
透過後續更新植入惡意功能
在使用者基數達到一定規模後,透過版本更新加入惡意程式碼,如憑證竊取、帳號側錄、加密錢包盜取等。
此手法突顯出瀏覽器擴充套件市集的結構性弱點:
多數平台僅在首次上架時進行完整檢查,而對後續更新缺乏足夠的持續審核與行為監控機制。
影響範圍與規模評估
根據多家資安研究單位的分析,DarkSpectre 的活動已持續 超過 7 年,影響規模極為龐大:
-
涉及 300 多個惡意或被接管的擴充套件
-
其中一批包含 Zoom Stealer 功能的 Chrome 擴充套件,下載次數高達 220 萬次
-
近幾個月曝光的攻擊行動 ShadyPanda 與 GhostPoster,亦被歸因於同一組織
-
三波主要攻擊行動累計安裝次數 約 880 萬次
此規模已不只是單一事件,而是系統性、長期化的瀏覽器生態系滲透行動。
防護建議與應對措施
使用者層級建議
-
僅安裝 來源明確、開發者可信 的瀏覽器擴充套件
-
定期檢查已安裝套件,移除 久未更新或功能異常 的擴充套件
-
對要求過度權限(如讀取所有網站資料、剪貼簿、錢包存取)的套件提高警覺
-
加密貨幣使用者應避免在瀏覽器環境中存放高權限私鑰或助記詞
瀏覽器與平台開發商建議
-
強化 擴充套件更新階段的審核與自動化行為分析
-
建立 異常更新行為偵測機制(例如權限突增、程式碼混淆度異常)
-
對高風險類型擴充套件(錢包、帳密管理、下載器)實施更嚴格的政策
-
提供使用者更清楚的 更新變更內容與風險提示
結論
DarkSpectre 的行動清楚揭示了 瀏覽器擴充套件供應鏈的結構性安全風險。在現今高度依賴瀏覽器外掛的使用情境下,單靠「上架時審核」已不足以應對進階持續性威脅(APT)。
未來,必須由 使用者、瀏覽器平台、資安研究單位 三方共同合作,透過持續監控、威脅情報共享與更嚴格的生態治理,才能有效降低此類供應鏈攻擊再度大規模發生的風險。
參考資料與原文來源
對應 MITRE ATT&CK 技術
-
T1195 – Supply Chain Compromise(供應鏈攻擊)
-
T1204 – User Execution(使用者執行)
🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化,僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。
發佈留言