行業新聞與博客

一項涉及 108 個惡意 Chrome 擴展程序的大規模攻擊活動已被發現，影響了大約 20,000 名用户。

這些擴展程序涵蓋遊戲、社交媒體工具和翻譯工具等多個類別，表面上看起來合法，實則暗中收集敏感數據。所有擴展程序都連接到同一個指揮控制（C2）基礎設施，使操作人員能夠將竊取的信息集中到一個地方。

Socket 的安全研究人員發現，此次攻擊活動規模龐大且組織嚴密。儘管攻擊使用了五個不同的開發者身份，但研究團隊發現所有擴展程序都使用了一致的後端系統和共享的操作模式。

多種攻擊技巧

該研究揭示了幾種同時部署的不同攻擊技術。其中最嚴重的是一種針對 Telegram 的擴展程序，該程序每 15 秒捕獲一次活躍的網絡會話，從而無需密碼或多因素身份驗證 (MFA) 即可完全訪問帳户。

其他一些擴展程序會利用 OAuth2 權限竊取 Google 帳户詳細信息，繞過瀏覽器安全保護機制注入廣告，或通過隱藏的後門打開任意網頁。許多擴展程序會在後台持續運行，即使用户從未主動與之交互。

已確定的關鍵行為包括：

• 54 個擴展程序收集 Google 個人資料數據

• 45 個擴展程序包含持久性後門，會在瀏覽器啓動時觸發。

• 多種工具可將腳本或廣告注入 YouTube 和 TikTok 等熱門平台。

• 一個擴展程序通過攻擊者控制的服務器充當翻譯代理。

雙重行為使檢測變得複雜

據 Socket 稱，這些擴展程序通常能夠實現其宣傳的功能，例如遊戲或即時通訊工具，同時掩蓋在後台運行的惡意活動。這種雙重行為使得用户難以發現它們。

該基礎設施還支持惡意軟件即服務 (MaaS) 模型，允許第三方訪問被盜數據和活躍會話。研究人員通過共享雲資源、重用代碼和重疊的帳户標識符，將整個攻擊行動與單個攻擊者聯繫起來。

發現時，所有 108 個擴展程序仍然可用。相關安全團隊已接到通知，並已提交下架請求。

信息安全部門已聯繫谷歌徵求意見，但尚未收到回覆。