此篇文章揭示資安公司 Socket 新近揭露的五款有問題的 Chrome 延伸套件,顯示駭客已將攻擊焦點鎖定在企業內部的 HR 與 ERP 系統使用者。文章指出,這些延伸套件的最終目的並非單純竊取資料,而是挾持 Workday、NetSuite、SuccessFactors 等平台的帳號權限,並進一步阻礙 IT 人員進行帳號與密碼的重設作業。文章亦提到,雖然已有超過 2,300 名用戶安裝這些套件,但實際風險遠不止於個資外洩,更多的是對企業工作流程之干擾與存取控制的顯著破壞。文章在敘述過程中強調,攻擊者透過多個面向的功能設計來實現其目的,包括竊取身分驗證用的 Cookie、封鎖安全管理網頁、以及雙向 Cookie 注入等機制,這些手法共同構成「直接挾持連線階段」的攻擊模態。此篇文章亦指出 Socket 已向 Google 通報此事,並呼籲受影響的企業 IT 團隊採取相對應的因應措施,顯示事態具備跨平台與跨組織的廣泛警示意義。
在具體技術面向的敘述中,此篇文章指出這次發現的五款惡意套件各自具備不同的功能與危害面向。首先,DataByCloud Access v1.6 主要負責截取並傳送身分驗證 Cookie,其次 Tool Access 11 v1.4 能阻斷 Workday 內約 44 個安全管理頁面,涵蓋身份驗證管理、安全政策設定、IP 範圍管理與連線階段控制介面;Data By Cloud 2 v3.3 在此基礎上擴大阻斷範圍,達到 56 個安全管理網頁,且包含密碼變更與雙因素驗證(2FA)管理等頁面。第四個套件 Data By Cloud 1 v3.2 則以複製 DataByCloud Access 的竊取機制為主,同時加入特定程式庫以阻止企業透過瀏覽器開發者工具的檢視與檢測。最後,Software Access v1.4 實作了 Cookie 竊取與雙向操作機制,便於竊取憑證的同時也接收被竊的 Cookie,從而注入瀏覽器並挾持連線階段;此舉亦伴隨密碼欄位保護機制,防止使用者檢視輸入內容。此篇文章對於每個套件的功能描述清楚地指向「多層次介入」的攻擊策略:既有資料竊取,又有存取控制干預,並以阻斷安全檢視的方式降低偵測與回應的可行性。
此外,本文特別強調攻擊者在延長惡意延伸套件於受害端存活時間方面的自我防護設計。指出攻擊軟體會自我檢測,查看受害者機器上是否安裝 23 種特定的安全或開發工具,例如 EditThisCookie、Redux DevTools 等,並將結果回報給攻擊者,以便調整攻擊策略或躲避偵測。在某些情況下,這些延伸套件還採用了 DisableDevtool 程式庫,一旦使用者開啟瀏覽器開發者工具,便會自動關閉或干擾分析流程,顯示攻擊者深度考量了安裝後的長期持續性與難以追蹤性。此篇文章的結論聚焦於「防範與偵測並重」的必要性,呼籲企業不僅要清理與封鎖惡意套件本身,也要加強對 HR 與 ERP 平台的存取審計、情資整合,以及端點與網路層的協同防護。透過這些觀點,文章提醒讀者,現今的攻擊已不再是單一路徑的入侵,而是以綜合性、層層遞進的手法,針對企業關鍵應用系統的存取權與內部流程造成實質性的風險。
