Chrome扩充程式开发者要小心网钓邮件!骇客挟持扩充程式大发广告财

近日陆续传出Chrome开发人员账号遭骇且扩充程式被骇客挟持的事件，骇客以网钓邮件取得开发人员的账号之后，上传了内含恶意程式的扩充程式版本，包括Copyfish与Web Developer等扩充程式皆已受害。

Copyfish（上图，来源：Chrome Web Store）为一免费的OCR文字辨识软件，可用来辨识图片、影像或PDF中的文字，且同时支援Chrome与Firefox浏览器。

Copyfish开发团队指出，有一名成员在上周五（7/28）收到一封看似来自Google的邮件，要求他们更新Chrome上的Copyfish扩充程式，否则便会被移除。该名成员点选了邮件中的连结，输入了开发者账号与密码，一点都没意识到这其实是一封网钓邮件。

骇客隔天就利用这组凭证更新了Chrome商店中的Copyfish扩充程式，利用该扩充程式于网站上嵌入广告与垃圾讯息，等到Copyfish团队发现时，骇客已将Copyfish程式转移到自己的账号，8月1日才在Google的协助下取回Copyfish的所有权，不过，Google也暂停了该团队的开发账号。

而Web Developer所遭遇的事件与Copyfish如出一辙。Web Developer主要提供各种浏览器开发工具的套件，估计在Chrome平台上已有超过100万的安装数量。该团队在8月1日收到网钓邮件，同样在不经意的情况下交出了开发账号与密码，隔天即有使用者回报该套件出现广告程式，幸运的是，骇客尚未取走该套件的所有权，Web Developer团队立即上传了新版的Web Developer套件，并重设密码，同时启用了双因素认证。

虽然Copyfish与Web Developer皆同时支援Chrome与Firefox，但最近传出的骇客事件遭盗的账号都是Chrome账号，因而只影响Chrome版本。