行業新聞與部落格

一項涉及 108 個惡意 Chrome 擴充程式的大規模攻擊活動已被發現，影響了大約 20,000 名使用者。

這些擴充程式涵蓋遊戲、社交媒體工具和翻譯工具等多個類別，表面上看起來合法，實則暗中收集敏感資料。所有擴充程式都連線到同一個指揮控制（C2）基礎設施，使操作人員能夠將竊取的資訊集中到一個地方。

Socket 的安全研究人員發現，此次攻擊活動規模龐大且組織嚴密。儘管攻擊使用了五個不同的開發者身份，但研究團隊發現所有擴充程式都使用了一致的後端系統和共享的操作模式。

多種攻擊技巧

該研究揭示了幾種同時部署的不同攻擊技術。其中最嚴重的是一種針對 Telegram 的擴充程式，該程式每 15 秒捕獲一次活躍的網路會話，從而無需密碼或多因素身份驗證 (MFA) 即可完全訪問帳戶。

其他一些擴充程式會利用 OAuth2 許可權竊取 Google 帳戶詳細資訊，繞過瀏覽器安全保護機制注入廣告，或透過隱藏的後門開啟任意網頁。許多擴充程式會在後臺持續執行，即使使用者從未主動與之互動。

已確定的關鍵行為包括：

• 54 個擴充程式收集 Google 個人資料資料

• 45 個擴充程式包含永續性後門，會在瀏覽器啟動時觸發。

• 多種工具可將指令碼或廣告注入 YouTube 和 TikTok 等熱門平臺。

• 一個擴充程式透過攻擊者控制的伺服器充當翻譯代理。

雙重行為使檢測變得複雜

據 Socket 稱，這些擴充程式通常能夠實現其宣傳的功能，例如遊戲或即時通訊工具，同時掩蓋在後臺執行的惡意活動。這種雙重行為使得使用者難以發現它們。

該基礎設施還支援惡意軟體即服務 (MaaS) 模型，允許第三方訪問被盜資料和活躍會話。研究人員透過共享雲資源、重用程式碼和重疊的帳戶識別符號，將整個攻擊行動與單個攻擊者聯絡起來。

發現時，所有 108 個擴充程式仍然可用。相關安全團隊已接到通知，並已提交下架請求。

資訊安全部門已聯絡谷歌徵求意見，但尚未收到回覆。