多個 Chrome 瀏覽器擴充功能遭黑客入侵　植入惡意程式碼盜取登入資料

Chrome 的擴充功能有不少都相當方便，不過開發商如果遭到黑客入侵，擴充功能被植入惡意程式碼，則會令大量用家受影響。

有網絡安全公司發現，他們的一個 Chrome 瀏覽器擴充功能被加入惡意程式碼，主要針對特定社群媒體廣告和 AI 平台，會竊取瀏覽器 cookie 和登入驗證資訊。而除了他們的擴充功能外，還發現有多個 VPN 和 AI 相關擴充功能都含有相同惡意程式碼，包括 Internxt VPN、VPNCity、Uvoice 和 ParrotTalks，認為是黑客隨機針對擴充功能開發者進行釣魚攻擊。

Cyberhaven 表示，黑客於 12 月 24 日推送了含有惡意程式碼的更新（版本 24.10.4），他們在隔天傍晚 6 點 54 分發現問題，並在一小時內採取行動，但惡意程式碼直到晚上 9 點 50 分才完全移除。目前已在 24.10.5 版本清除有問題的程式碼。至於如果使用其他受影響擴充功能的話，也最好儘快更新以策安全。