【每日安全资讯】MEGA官方Chrome扩展被加入窃取密码和数字货币私钥的恶意代码

9 月 4 日 14:30 UTC，未知攻击者向 Google 官方扩展商店 Google Chrome webstore 上传了文件共享服务 MEGA.nz 的一个木马版本 version 3.39.4，其中包含的恶意代码能窃取 amazon.com、live.com、github.com 和 google.com、以及 myetherwallet.com、mymonero.com、idex.marke 等网站的登录凭证和钱包私钥。

MEGA 在 4 个小时后释出了一个干净的扩展版本 version 3.39.5。如果你在此期间安装了 MEGA Chrome 扩展，启用了自动更新并接受了木马版本的额外权限要求，那么你最好假设在此期间所访问网站的登录凭证被窃取了，最好重置相关网站的密码。MEGA 官方对给用户造成的不便表示歉意，批评了 Google 的扩展自动签名流程，认为如果扩展在上传到扩展商店前要求开发者签名，那么这将能提供额外的一层保护，而 Google Chrome webstore 的做法是上传新版本后自动给予签名。MEGA 的 Firefox 扩展没有受到影响。MEGA 表示它正在调查其 Chrome webstore 账号是如何被入侵的。

*来源：solidot.org

更多资讯

◈ 技术讨论 | 如何利用Microsoft Edge漏洞获取本地文件？

http://t.cn/Rs5zBYT

◈ 腾讯:《王者荣耀》将接入公安系统判定是否为未成年人

http://t.cn/Rs5zgfh

◈ Tor Browser 8.0 发布

http://t.cn/Rs5zD7y

◈ IBM秘密使用纽约的闭路电视摄像机来训练其监控软件

http://t.cn/Rs5zsX0

（信息来源于网络，安华金和搜集整理）