北京
两个Google Chrome浏览器扩展程序在所有权转移后变成恶意软件,为攻击者提供了向下游客户推送恶意软件、注入任意代码和窃取敏感数据的途径。
涉事扩展程序及用户数量
涉及的两个扩展程序最初都与开发者"akshayanuonline@gmail.com"(BuildMelon)相关:
QuickLens - Search Screen with Google Lens(ID: kdenlnncndfnhkognokgfpabgkgehodd)- 7000名用户
ShotBird - Scrolling Screenshots, Tweet Images & Editor(ID: gengfhhkjekmlejbhmmopegofnoifnjp)- 800名用户
虽然QuickLens已无法从Chrome网上应用店下载,但截至发稿时ShotBird仍可访问。ShotBird最初于2024年11月推出,其开发者Akshay Anu S在X平台声称该扩展适用于"创建专业的工作室级视觉效果",并且所有处理都在本地进行。
恶意更新分析
根据monxresearch-sec发布的研究,ShotBird在2025年1月获得"精选"标识,随后在上个月被转移给不同的开发者"loraprice198865@gmail.com"。
类似地,QuickLens在发布仅两天后的2025年10月11日就被"akshayanuonline@gmail.com"在ExtensionHub上挂牌出售。2026年2月1日,该扩展的所有者在Chrome网上应用店列表页面上更改为"support@doodlebuggle.top"。
QuickLens在2026年2月17日引入的恶意更新保持了原有功能,但增加了从每个HTTP响应中剥离安全标头(如X-Frame-Options)的能力,允许注入网页的恶意脚本向其他域发出任意请求,绕过内容安全策略(CSP)保护。
此外,该扩展还包含对用户所在国家进行指纹识别、检测浏览器和操作系统的代码,每五分钟轮询外部服务器接收JavaScript代码,这些代码存储在浏览器的本地存储中,通过添加隐藏的1×1 GIF img元素并将JavaScript字符串设置为其"onload"属性,在每次页面加载时执行。
攻击手法升级
ShotBird扩展的分析显示,它使用直接回调来传递JavaScript代码,而不是创建1x1像素图像来触发执行。JavaScript被设计为显示虚假的Google Chrome浏览器更新提示,用户点击后会被引导到ClickFix风格的页面,打开Windows运行对话框,启动"cmd.exe"并粘贴PowerShell命令,导致在Windows主机上下载名为"googleupdate.exe"的可执行文件。
恶意软件随后会钩取输入、文本区域、选择HTML元素,并捕获受害者输入的任何数据。这可能包括凭据、PIN码、卡片详细信息、令牌和政府标识符。它还能够窃取存储在Chrome网络浏览器中的数据,如密码、浏览历史和扩展相关信息。
威胁评估
评估显示,同一威胁行为者负责了两个扩展的妥协,并且正在并行操作它们,因为使用了相同的命令控制(C2)架构模式、注入浏览上下文的ClickFix诱饵,以及将所有权转移作为感染向量。
有趣的是,原始扩展开发者在Chrome网上应用店以自己的名义发布了其他几个扩展,它们都获得了精选徽章。该开发者在ExtensionHub上也有账户,尽管目前没有扩展挂牌出售。此外,该个人还试图以2500美元的价格出售"AIInfraStack.com"等域名。
相关威胁趋势
Microsoft警告了伪装成合法AI助手工具的恶意基于Chromium的浏览器扩展,这些扩展会收集大语言模型聊天历史和浏览数据。
威胁猎手还标记了一个名为imΤoken Chromophore的恶意Chrome扩展,该扩展冒充imToken,同时在Chrome网上应用店中宣传自己为十六进制颜色可视化工具,通过钓鱼重定向窃取加密货币种子短语。
防范建议
建议用户立即从浏览器中删除任何前述扩展程序,避免侧载或安装未经验证的生产力扩展,并审查浏览器中的未知扩展并卸载它们。
Q&A
Q1:QuickLens和ShotBird扩展程序是如何变成恶意软件的?
A:这两个扩展程序在所有权转移后变成恶意软件。QuickLens被转移给"support@doodlebuggle.top",ShotBird被转移给"loraprice198665@gmail.com"。新所有者随后向所有现有用户推送了武器化更新,保持原有功能但添加了恶意代码。
Q2:这些恶意扩展程序能够窃取哪些类型的数据?
A:这些恶意扩展能够窃取包括用户凭据、PIN码、银行卡详细信息、令牌和政府标识符在内的敏感数据。它们还可以窃取Chrome浏览器中存储的密码、浏览历史和扩展相关信息。通过钩取HTML元素,它们能捕获受害者输入的任何数据。
Q3:如何识别和防范类似的恶意浏览器扩展?
A:用户应避免安装未经验证的扩展程序,定期审查已安装的扩展并删除不需要或可疑的扩展。要特别注意那些要求过多权限或行为异常的扩展,如频繁访问外部服务器或修改浏览器设置的扩展。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
