登录   注册

MEGA 官方 Chrome 扩展被加入窃取密码和数字货币私钥的恶意代码

安全 xlch 2个月前 (09-06) 35次浏览 0个评论 扫描二维码

9 月 4 日 14:30 UTC,未知攻击者向 Google 官方扩展商店 Google Chrome webstore 上传了文件共享服务 MEGA.nz 的一个木马版本 version 3.39.4,其中包含的恶意代码能窃取  amazon.com、live.com、github.com 和 google.com、以及 myetherwallet.com、mymonero.com、idex.marke 等网站的登录凭证和钱包私钥。MEGA 在 4 个小时后释出了一个干净的扩展版本 version 3.39.5。如果你在此期间安装了 MEGA Chrome 扩展,启用了自动更新并接受了木马版本的额外权限要求,那么你最好假设在此期间所访问网站的登录凭证被窃取了,最好重置相关网站的密码。MEGA 官方对给用户造成的不便表示歉意,批评了 Google 的扩展自动签名流程,认为如果扩展在上传到扩展商店前要求开发者签名,那么这将能提供额外的一层保护,而 Google Chrome webstore 的做法是上传新版本后自动给予签名。MEGA 的 Firefox 扩展没有受到影响。MEGA 表示它正在调查其 Chrome webstore 账号是如何被入侵的。


绚丽彩虹 , 版权所有丨如未注明 , 均为原创丨未经允许,禁止转载
喜欢 (0)
[pay3@xlch8.cn]
分享 (0)

您必须 登录 才能发表评论!

下载手机APP,及时获取最新消息,享受清爽阅读体验!

APP