170万用户遭恶意Chrome扩展侵害，谷歌认证徽章竟成帮凶

网络安全研究人员发现，11款带有谷歌认证徽章并获Chrome应用商店推荐的浏览器扩展程序，已导致超过170万用户感染恶意软件。Koi Security团队将此次行动命名为"Malicious11"，这是有记录以来规模最大的浏览器劫持攻击之一，攻击者恰恰利用了用户识别安全扩展所依赖的信任标识。

精心设计的"特洛伊木马"行动

这些恶意扩展伪装成各类热门生产力与娱乐工具，涵盖表情键盘、天气预报、视频调速器、Discord/TikTok专用网络代理、暗色主题、音量增强器和YouTube解锁器等不同类别。

该攻击活动的狡猾之处在于，每个扩展在提供宣称功能的同时，暗中植入了复杂的监控与劫持能力。研究人员最初调查的是安装量超10万次、获800余条评价的"Color Picker, Eyedropper — Geco colorpick"扩展程序。

尽管该扩展保持认证状态且看似完全合法，实则暗中劫持用户浏览器，追踪所有访问网站，并维持着持久化的命令控制后门。最令人担忧的是其投放方式——这些扩展最初并非恶意程序，而是通过版本更新逐渐转变为恶意软件。某些扩展的代码库甚至保持数年"清白"记录，最终通过自动更新机制向170万用户静默部署恶意代码。

研究人员指出："由于谷歌处理浏览器扩展更新的机制，这些新版会被自动静默安装。无需网络钓鱼，无需社会工程，只需对可信扩展进行悄无声息的版本升级。"

精密设计的浏览器劫持技术

该恶意软件采用先进的浏览器劫持机制，在用户每次访问新页面时激活。每个扩展的后台服务线程中隐藏着监控所有标签页活动的代码，捕获URL并与唯一追踪标识符一同发送至远程服务器。

这种设计形成了可随时利用的大规模持久化中间人攻击能力。例如，用户点击Zoom会议邀请时可能被重定向至要求下载"关键更新"的虚假页面，银行会话可能被拦截并跳转至攻击者服务器上像素级复制的仿冒网站。

平台安全机制的系统性失效

Malicious11行动暴露出应用商店安全体系的系统性缺陷。谷歌的验证流程未能检测出11款扩展中的复杂恶意代码，反而通过认证徽章和推荐位为其背书。攻击者成功利用了用户依赖的所有信任标识：认证徽章、安装量、推荐展示、长期合法运营记录以及正面评价。

防护建议

受影响用户应立即卸载相关扩展、清除浏览器数据以删除存储的追踪标识符、运行全盘恶意软件扫描，并监控账户异常活动。该事件凸显了改进应用商店安全机制的紧迫性——攻击者已从单次攻击发展为构建可潜伏多年再激活的完整基础设施。

此次攻击标志着浏览器扩展安全的分水岭事件，证明当前应用商店安全模型存在根本性缺陷。

文章来源：freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END