9 月 4 日 14:30 UTC，未知攻击者向 Google 官方扩展商店 Google Chrome webstore 上传了文件共享服务 MEGA.nz 的一个木马版本 version 3.39.4，其中包含的恶意代码能窃取 amazon.com、live.com、github.com 和 google.com、以及 myetherwallet.com、mymonero.com、idex.marke 等网站的登录凭证和钱包私钥。 

MEGA 在 4 个小时后释出了一个干净的扩展版本 version 3.39.5。如果你在此期间安装了 MEGA Chrome 扩展，启用了自动更新并接受了木马版本的额外权限要求，那么你最好假设在此期间所访问网站的登录凭证被窃取了，最好重置相关网站的密码。MEGA 官方对给用户造成的不便表示歉意，批评了 Google 的扩展自动签名流程，认为如果扩展在上传到扩展商店前要求开发者签名，那么这将能提供额外的一层保护，而 Google Chrome webstore 的做法是上传新版本后自动给予签名。MEGA 的 Firefox 扩展没有受到影响。MEGA 表示它正在调查其 Chrome webstore 账号是如何被入侵的。

来源：solidot.org

往期热门资讯：

扫描二维码，获得更多新鲜资讯！