108个Chrome插件共用1套"黑后台"，你的浏览器正在给黑客打工

去年全球浏览器扩展商店新增插件超12万个，其中有多少在偷偷复制你的登录态？

安全公司Socket最近扒出一桩持续数年的间谍案：108个恶意Chrome扩展共用同一套指挥系统，像连锁便利店共享中央厨房那样，把用户数据批量回传到同一批服务器。这种"工业化"的窃取模式，让企业防火墙形同虚设。

「共享黑后台」：黑客的降本增效

传统恶意软件像手工作坊——每个工具单独开发、单独维护。这批Chrome扩展却走了另一条路。

108个插件表面上各自独立，有的伪装成PDF转换器，有的冒充广告拦截器，还有的打着"提升办公效率"的旗号。它们背后连着同一套C2（命令与控制）基础设施，所有偷来的数据都汇进同一批服务器。

这种设计让攻击者省去了重复造轮子的成本。更新一次恶意代码，108个插件同时生效；换一批服务器地址，所有工具自动同步。

对受害者而言，这意味着更大的暴露面。你在A网站下载的"日历插件"和B网站安装的"翻译工具"，可能是同一伙人在运营。一个插件被举报下架，其他107个仍在活跃。

Socket的研究人员发现，这套共享架构让攻击者能以极低的边际成本扩张——每新增一个恶意扩展，只需要复制前端代码，后端完全复用。

绕过双因素认证：偷走你的"临时身份证"

这批插件的核心目标是两类数据：浏览器Cookie和会话令牌（Session Token）。

普通用户可能觉得，开了双因素认证（2FA）就高枕无忧。但会话令牌相当于系统发给你的"临时身份证"——有效期内无需再次验证身份。黑客拿到它，直接以你的名义登录，密码和短信验证码都成了摆设。

企业邮箱、财务后台、内部OA系统，这些通常强制开启2FA的高价值目标，在会话劫持面前门户洞开。

更隐蔽的是窃取时机。很多插件会故意延迟激活，安装后数小时甚至数天才开始工作，避开用户刚安装时的警惕期。恶意代码经过重度混淆，自动化扫描工具难以识别其真实意图。

C2服务器还会频繁更换域名和IP地址，像打游击一样让安全团队的封锁名单永远滞后一步。

企业防线：从"信任插件"到"零信任浏览器"

Chrome扩展的权限模型设计于十年前，当时浏览器主要用来读网页。如今同一个扩展能读取你打开的每一页内容、修改页面数据、代理网络请求——权限边界早已模糊。

Socket给出的应急方案透着无奈：企业必须逐台审计已安装的扩展，建立白名单制度，只允许预审核过的插件运行。个人用户要定期清理"可能有用"但从未用过的工具。

这些建议的潜台词是：现有的浏览器安全架构，无法自动区分"正常扩展"和"恶意扩展"。

网络监控层面，管理员需要盯着出站流量，标记连接陌生服务器的异常行为。但这在远程办公普及的今天，执行成本极高——员工家里的路由器不会配合企业策略。

一个值得玩味的细节是，这108个插件至今仍有相当比例存活于Chrome商店。Google的审核机制能拦截明显的恶意代码，却对"先正常、后变恶"的更新策略缺乏有效追溯。

当你的浏览器提示"此扩展需要读取所有网站数据"时，你上次认真看过权限列表是什么时候？