大规模浏览器劫持活动，已感染超230万用户

一场大规模浏览器劫持活动通过Google Chrome和Microsoft Edge上的18款恶意扩展程序，已感染超过230万用户。尽管这些扩展拥有认证标识和高评分，却暗中部署监控代码，引发对浏览器扩展审核机制的严重质疑。

披着合法外衣的恶意扩展

Koi Security研究人员将此次行动命名为"RedDirection"，攻击者利用认证徽章、高评分和精选推荐等信任标识，使其在两大浏览器生态系统中长期潜伏。研究人员称这是迄今为止规模最大的基于浏览器的恶意软件活动之一。

其中"Color Picker, Eyedropper — Geco colorpick"扩展尤为突出，在Chrome应用商店拥有超过10万次安装、800多条好评和认证状态。尽管界面功能正常，该扩展却被发现会窃取浏览活动数据并发送至远程服务器。其他扩展功能各异——从表情键盘、天气预报到网络代理、深色主题和音量增强——但都隐藏着类似的监控和劫持代码。

"这绝非周末临时拼凑的劣质扩展，"Koi Security研究员Idan Dardikman在分析报告中指出，"这是精心设计的特洛伊木马，在兑现功能承诺的同时，暗中劫持浏览器、追踪每个访问的网站，并维持持久化的命令控制后门。"

通过更新植入恶意代码

研究人员发现，多数恶意扩展在初始发布时并无危害，而是通过后续版本更新引入恶意功能。这种技术使其得以长期潜伏。"由于Google和微软的扩展更新机制，这些恶意版本已静默安装到230万用户设备——其中多数人从未进行任何点击操作，"Dardikman解释道。

Everest Group实践总监Arjun Chauhan认为，这反映了攻击策略的转变："与传统针对后端系统的供应链攻击不同，这次活动渗透了用户日常信任的工具——浏览器扩展。恶意代码的延迟激活暴露出企业安全模型的关键缺陷。"他建议企业实施持续监控、严格权限控制，并对浏览器扩展采取零信任策略。

跨平台的集中化攻击架构

恶意代码被植入各扩展的后台服务进程，利用浏览器API监控标签页活动。窃取的URL和追踪ID等数据被发送至攻击者服务器，服务器则返回重定向指令。这种架构支持多种攻击场景，包括跳转钓鱼页面、通过克隆登录页窃取银行凭证，以及通过劫持会议邀请推送虚假更新提示。

活动同时影响Chrome和Edge平台，每个扩展连接独立子域名制造分散假象，但最终都关联至同一协调网络。值得注意的是，部分扩展在两大应用商店均获得精选或认证状态，进一步暴露平台审核漏洞。

应用商店机制失效

此次事件凸显浏览器扩展治理的系统性缺陷。Google和微软的验证流程未能检测恶意软件，部分扩展甚至获得推广位和信任徽章。"攻击者成功利用了用户依赖的所有信任信号——认证徽章、安装量、精选推荐、多年合法运营和正面评价，"Dardikman指出，"这些可信度机制最终反噬了用户。"

Chauhan强调需要平台级变革："静态分析和人工审核已无法应对当前威胁。Google和微软必须投资动态分析、实时扩展监控和更透明的更新流程，才能预防类似活动。"

浏览器安全的转折点

研究人员认为该活动是浏览器安全的分水岭。RedDirection背后的威胁组织没有追求短期收益，而是构建了持久化基础设施，在激活恶意功能前已潜伏多年。事件曝光恰逢MITRE在其ATT&CK框架新增"IDE扩展"类别，凸显第三方软件生态日益严峻的威胁。

"如果通过所有信任测试的浏览器扩展能一夜之间变成恶意软件，那么相关的安全管理模式必须改变，"Dardikman在博文中总结道。安全专家建议受影响用户立即卸载相关扩展、清除浏览器数据、运行全盘扫描，并全面审查已安装扩展。

文章来源：freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END