新版Mega擴充套件遭駭，駭客能竊取Chrome使用者的加密貨幣

瀏覽器的擴充套件出現漏洞，外洩瀏覽器儲存的使用者個人資料時有所聞，但除了使用者存取各個網站服務的帳號、密碼，駭客甚至進一步想要對受害者的加密貨幣錢包下手。這樣的情況，以往大多是出現在來路不明的擴充套件，不過，現在即使是網站服務廠商推出的軟體，也要小心可能被駭客竄改。根據一名化名為SerHack的義大利門羅幣開發者在推特上指出，知名的雲端檔案儲存服務廠商Mega，才剛發布新版（3.39.4）的Chrome專用擴充套件，程式碼疑似遭駭客竄改，被發現截錄多個網站密碼的內容，而且會竊取使用者的加密貨幣錢包私鑰憑證，Google接獲通報之後，已經緊急下架處理。

根據這名門羅幣的開發者指出，上述新版的Chrome擴充套件，會截取使用者存放在瀏覽器裡的帳號與密碼，包含了Google、微軟、Amazon，以及GitHub等網站的身分驗證資料。而且截取這些資料之後，會傳送到 hxxxs://www.megaopac dot host/。

根據SerHack截錄的擴充套件程式碼片段，裡面會存取使用者在特定網站的帳號與密碼，在圖中，包含了微軟網站（login.live.com）、GitHub（github.com/session），以及Google（accounts.google.com）等。（圖片來源：SerHack推特）

值得留意的是，除了知名網站的帳號與密碼之外，SerHack表示，這個疑似被駭客竄改的擴充套件，還會竊取使用者的門羅幣與以太幣錢包的私鑰憑證，換言之，使用者不光是身分外洩，還可能因此直接面臨虛擬貨幣的財產損失。

不過，稍微值得慶幸的是，這樣的問題，只有出現在Chrome專屬套件，Firefox版本並未遭到竄改。而對於這個有問題的擴充套件，Mega尚未對此做出回應。

在Mega的網站上，我們仍看到Chrome版擴充套件下載連結，然而實際點選，則會出現404頁面。