Mozilla强制所有附加开发人员使用2FA来防止供应链攻击

从2020年初开始，扩展开发人员将需要在AMO(Mozilla附加组件门户)上启用2FA，” Mozilla附加组件社区经理Caitlin Neiman说。

内曼补充说：这是为了防止恶意行为者控制合法的附件及其用户。”

发生这种情况时，黑客可以使用开发人员的受感染帐户向Firefox用户发送受污染的附加更新。

由于Firefox插件在浏览器中的位置非常优越，因此攻击者可以使用受感染的插件来窃取密码，身份验证/会话cookie，监视用户的浏览习惯，或将用户重定向到网上诱骗页面或恶意软件下载站点。

这些类型的事件通常称为供应链攻击。

发生这种情况时，最终用户无法检测到附加更新是否是恶意的，尤其是当污染的更新来自官方Mozilla AMO(所有Firefox用户都认为是安全的来源)时。

Mozilla决定强迫附加开发人员启用2FA是浏览器制造商为防止将来发生供应链事件而可能采取的最佳措施。

尽管近年来没有针对Firefox附件的AMO帐户被劫持的案例，但有许多被劫持的Chrome扩展程序的案例。

Chrome扩展程序的开发人员经常受到网络钓鱼电子邮件的攻击，黑客试图通过这些电子邮件来尝试访问其Chrome网上应用店帐户。ZDNet去年记录了针对Chrome扩展开发人员的这些大规模网络钓鱼活动之一，但我们被告知它们今天仍在继续。

这类攻击主要针对Chrome扩展程序开发人员，因为Chrome浏览器的市场占有率为65%-70%。仅占10%的Firefox对犯罪集团的吸引力极小。但是，看到Mozilla采取先发制人的行为是值得称赞的。