行业新闻与博客

一项涉及 108 个恶意 Chrome 扩展程序的大规模攻击活动已被发现，影响了大约 20,000 名用户。

这些扩展程序涵盖游戏、社交媒体工具和翻译工具等多个类别，表面上看起来合法，实则暗中收集敏感数据。所有扩展程序都连接到同一个指挥控制（C2）基础设施，使操作人员能够将窃取的信息集中到一个地方。

Socket 的安全研究人员发现，此次攻击活动规模庞大且组织严密。尽管攻击使用了五个不同的开发者身份，但研究团队发现所有扩展程序都使用了一致的后端系统和共享的操作模式。

多种攻击技巧

该研究揭示了几种同时部署的不同攻击技术。其中最严重的是一种针对 Telegram 的扩展程序，该程序每 15 秒捕获一次活跃的网络会话，从而无需密码或多因素身份验证 (MFA) 即可完全访问帐户。

其他一些扩展程序会利用 OAuth2 权限窃取 Google 帐户详细信息，绕过浏览器安全保护机制注入广告，或通过隐藏的后门打开任意网页。许多扩展程序会在后台持续运行，即使用户从未主动与之交互。

已确定的关键行为包括：

• 54 个扩展程序收集 Google 个人资料数据

• 45 个扩展程序包含持久性后门，会在浏览器启动时触发。

• 多种工具可将脚本或广告注入 YouTube 和 TikTok 等热门平台。

• 一个扩展程序通过攻击者控制的服务器充当翻译代理。

双重行为使检测变得复杂

据 Socket 称，这些扩展程序通常能够实现其宣传的功能，例如游戏或即时通讯工具，同时掩盖在后台运行的恶意活动。这种双重行为使得用户难以发现它们。

该基础设施还支持恶意软件即服务 (MaaS) 模型，允许第三方访问被盗数据和活跃会话。研究人员通过共享云资源、重用代码和重叠的帐户标识符，将整个攻击行动与单个攻击者联系起来。

发现时，所有 108 个扩展程序仍然可用。相关安全团队已接到通知，并已提交下架请求。

信息安全部门已联系谷歌征求意见，但尚未收到回复。