有人劫持MEGA Chrome扩展程序以窃取用户密码

警告！如果您使用的是MEGA文件存储服务中的Chrome浏览器扩展程序，请立即将其卸载。 MEGA.nz云存储服务的官方Chrome扩展程序已遭到破坏，并被恶意版本取代，该版本可窃取用户对亚马逊，微软，Github和Google等热门网站的凭据，以及用户加密货币钱包的私钥。 根据该公司发布的一篇博客文章，9月4日14:30 UTC，一名身份不明的攻击者成功入侵MEGA的谷歌Chrome网上商店帐户，并将恶意版本的3.39.4版本上传到网上商店。

恶意MEGA Chrome扩展程序窃取密码

安装或自动更新后，恶意扩展程序要求提升访问个人信息的权限，允许其从Amazon，Github和Google等网站窃取凭据，以及MyEtherWallet和MyMonero等在线钱包，以及Idex.market加密货币交易平台。 木马化的Mega扩展程序然后将所有被盗信息发送回位于乌克兰megaopac [。]主机的攻击者服务器，然后攻击者使用该服务器登录受害者的帐户，并提取加密货币私钥以窃取用户的数字货币。

“如果您在事件发生时安装了MEGA Chrome扩展程序，启用了自动更新，并且您接受了其他权限，或者您刚刚安装了3.39.4版本，那么您只会受到影响”，该公司警告说。

该公司还表示谷歌不允许发布商签署他们的Chrome扩展程序，而是现在仅依靠在上传扩展程序后由Google自动签名，这使得黑客更容易推送与开发人员相同的新更新。

Monero（XMR）的官方Twitter帐户也发布了关于此事件的警告，称恶意MEGA扩展还包括窃取Monero加密货币的功能，并建议Monero持有者远离扩展。 一位首次报告违规行为的安全研究员也在Reddit和Twitter上发布了警告，建议用户避免使用特洛伊木马的MEGA扩展。 虽然该公司尚未透露受安全事件影响的用户数量，但据信MEGA Chrome扩展程序的恶意版本可能已被数千万用户安装。

MEGA用户该做什么？

MEGA的Firefox版本没有受到影响或被篡改，并且没有Chrome扩展程序通过其官方网站（https://mega.nz）访问MEGA的用户也不会受到违规行为的影响。 在安全漏洞发生四小时后，该公司了解到该事件，并使用安全的MEGA版本（3.39.5）更新了扩展，自动更新了所有受影响的安装。 谷歌还在违规后五小时从其Chrome网上商店中删除了MEGA扩展程序。 但是，当木马化的MEGA Chrome扩展程序处于活动状态时，用户应该考虑他们的凭据在他们访问过的网站和应用程序上受到损害。

“请注意，如果您访问过任何网站或使用另一个通过POST请求发送纯文本凭据的扩展程序，可以通过直接表单提交或通过后台XMLHttpRequest进程（MEGA不是其中之一），而特洛伊木马扩展程序处于活动状态，考虑到你的凭据在这些网站和/或应用程序上受到了损害，“该公司表示。

底线：

安装了恶意扩展程序的用户应立即卸载MEGA扩展版本3.39.4，并更改所有帐户的密码，尤其是那些您在使用恶意扩展程序时可能已使用过的密码。