Koi安全公司揭露了一起持续近十年的大规模、具有国家背景的网络间谍活动“DarkSpectre”,该事件彻底暴露了浏览器扩展生态系统存在的重大安全漏洞。这一威胁组织通过近300个恶意扩展程序,成功感染了超过880万Chrome、Edge和Firefox用户,构建了一个庞大且隐蔽的“休眠单元”监控网络。
高度组织化的长期潜伏行动
报告显示,DarkSpectre展现出网络犯罪领域中罕见的纪律性与战略耐心。与那些进行零散、投机攻击的犯罪个体不同,该组织的运作模式更接近于一个资金充足、目标明确的专业犯罪集团。其典型手法是,先将功能完全正常的软件维持数年以建立信誉,待用户基数达到一定规模后,再通过更新将其武器化。
研究人员在追踪已知威胁时,意外发现了该组织的新活动:一个专门窃取企业会议情报的扩展程序网络,影响了约220万用户。这项被称为“Zoom窃密者”的行动,可能从未设防的企业会议中,持续窃取敏感的音频内容、文字记录以及参会者数据。
三大行动背后的关联网络
深入调查后,安全专家发现此前被认为彼此独立的三大网络行动,实际上存在紧密关联,均隶属于DarkSpectre组织:
- Zoom窃密者:新发现的行动,主要针对企业通讯,影响220万用户。
- ShadyPanda:大规模监控与欺诈行动,影响范围高达560万用户。
- GhostPoster:一个隐蔽的有效载荷投递系统,已造成105万用户受害。
通过追踪共享的基础设施等线索,研究人员确认这些行动都是同一庞大组织的不同分支。“我们能够从ShadyPanda追踪到GhostPoster,再关联到Zoom窃密者,因为它们使用了相同的基础设施。”这种关联性揭示了此类高级持续性威胁(APT)活动的系统性与复杂性。
利用浏览器商店审核机制的漏洞
DarkSpectre的核心策略巧妙地利用了当前浏览器应用商店的审核缺陷。攻击者首先发布功能正常、甚至颇受欢迎的扩展程序,以此积累用户并顺利通过商店的初始安全认证。当用户规模达到预期目标后,他们便通过常规的版本更新,向这些“清白”的扩展中植入恶意代码。
报告对此发出严厉警告:“DarkSpectre可能还控制着更多目前看似完全合法的扩展程序——它们当前确实是合法的,但仍处于建立用户信任的潜伏阶段。”这种“先养后杀”的手法,暴露了现有市场模型只在扩展程序首次上传时进行一次严格检查,而对其后的无数次更新缺乏持续监控的根本问题。对于这类网络安全威胁,传统的静态检测方法已显得力不从心。
系统性防御的迫切需求
DarkSpectre活动持续时间近10年、涉及扩展程序超过300个,其庞大的操作规模引发了关于浏览器核心安全性的严峻质疑。为应对此类不断演变的威胁,Koi Security公司部署了由“Agentic AI”驱动的风险引擎“Wings”,该引擎能够分析扩展程序的每一个版本更新,试图实现动态监控。
然而,报告尖锐地指出,除非对整个浏览器扩展的审核、发布和更新机制进行系统性改革,否则数百万用户仍然可能因为信任扩展的一次看似普通的更新而遭受攻击。这起事件凸显了在软件供应链和日常应用中进行持续安全分析与监测的极端重要性。
参考来源:
想了解更多关于前沿安全攻防技术与案例分析,欢迎访问 云栈社区 的安全技术板块进行深入探讨。
| 
发表于 3 天前
|
查看: 8|
回复: 0
