在12月25日首次发现的供应链攻击中，一名Cyberhaven员工被钓鱼邮件欺骗，该邮件窃取了该员工在Google Chrome网上应用店的凭证，导致多个Chrome扩展程序沦陷。

　　Cyberhaven在12月27日的博客文章中解释说，攻击者于12月24日利用这些凭证发布了Cyberhaven Chrome扩展程序（24.10.4版）的恶意版本。Cyberhaven表示，其安全团队在圣诞节当晚很晚时才检测到此次攻击，并在一小时内删除了恶意程序包。

　　SlashNext Email Security的现场首席技术官Stephen Kowski解释说，此次事件中，被攻陷的扩展程序专门针对Facebook广告用户，旨在窃取访问令牌、企业账户详细信息和广告账户信息，同时还试图通过扫描二维码绕过双重身份验证（2FA）。

　　Kowski说：“在重大节日期间，24小时的暴露窗口可能影响了众多启用了自动更新的用户，给Facebook广告账户和相关业务数据带来了重大风险。”Kowski表示，尽管有关此事件的各种新闻报道更多地关注了绕过2FA的方面，但事件的核心在于针对Chrome扩展程序开发者的复杂供应链攻击。虽然此事件严重且值得注意，尤其是它对Facebook广告用户的影响，但Kowski指出，核心问题在于OAuth滥用和社会工程学，而非2FA系统存在根本缺陷。

　　Entro Security联合创始人兼首席执行官Itzik Alvas进一步解释说，伪装成来自Chrome网上应用店的合法通信的钓鱼邮件导致该员工向恶意OAuth应用程序提供了合法的非人类身份（NHI），攻击者利用该身份来利用开发者账户。

　　Alvas说，攻击者利用这种过度宽松的访问权限发布了一个恶意扩展程序版本，该程序在24个多小时内可供使用，并自动分发给启用了自动更新的用户。

　　Alvas说：“通过操纵与扩展程序开发和分发过程相关的OAuth令牌和API密钥，攻击者能够利用NHIs来扩大暴露范围，并损害超出最初钓鱼邮件范围的其他资源和公司。”

　　Bugcrowd创始人Casey Ellis补充说，这次攻击是一场协调一致的绕过多因素认证（MFA）的运动，时机不幸但巧妙。Ellis表示，令他感兴趣的是，从钓鱼成功到上传打包的恶意Chrome扩展程序之间的时间窗口很短，这表明攻击者已经为成功入侵Cyberhaven作为供应链目标做好了准备，而且这是更广泛协调运动的一部分。

　　Ellis说：“这些扩展程序本身专注于从用户浏览器中提取会话cookie，重点瞄准社交媒体和人工智能平台进行劫持。主要潜在影响是被劫持账户的账户接管，以及通常由此产生的下游影响。Cyberhaven的Chrome扩展程序以企业和商业用户为常规用户，这意味着一旦成功入侵，不仅会影响普通互联网用户的账户，还会影响商业账户。”