100多款Chrome插件正在偷你的谷歌账号

Chrome应用商店里，超过100款插件正在同步窃取用户的谷歌OAuth令牌、植入后门、操控广告。它们不是杂牌军——共享同一套指挥服务器，代码里留着俄语注释，活像一条成熟的恶意软件生产线。

这是应用安全公司Socket的最新发现。更讽刺的是：截至报告发布，这些插件仍在架上可下载。

一条生产线，五种伪装

攻击者注册了五个不同的开发者身份，把恶意代码包装成日常工具：Telegram侧边栏客户端、老虎机和Keno游戏、YouTube和TikTok增强器、文本翻译工具，以及各种小工具。

表面看是功能各异的应用，底层却连着同一台Contabo VPS服务器。这台中央后端通过多个子域名分工：劫持会话、收集身份信息、执行远程命令、变现运营，流水线作业。

Socket在认证和会话窃取的代码注释中发现了俄语痕迹，指向一个俄罗斯背景的"恶意软件即服务"（MaaS）团伙。这意味着攻击者可能不是终端黑手，而是把整套攻击工具租给下游买家——就像云计算按量付费，只是卖的是你的账号数据。

三类攻击手法，层层递进

这批插件按功能分成三个梯队，攻击深度逐级加码。

第一梯队规模最大：78款插件利用浏览器的'innerHTML'属性，向用户界面注入攻击者控制的HTML代码。这是经典的网页篡改手段，用户看到的页面内容可能被替换或植入钓鱼元素。

第二梯队54款插件直接调用'chrome.identity.getAuthToken'接口，收集用户的邮箱、姓名、头像和谷歌账号ID。关键目标是谷歌OAuth2持有者令牌——这种短期访问令牌让应用能代表用户操作数据，一旦泄露，攻击者无需密码就能接管账号权限。

第三梯队45款插件藏得更深：浏览器启动时自动激活隐藏功能，作为后门持续连接指挥服务器，接收指令并打开任意网址。用户完全无感知，不需要点击任何按钮。

Socket特别点名了一款"最严重"的Telegram相关插件：每15秒窃取一次Telegram Web会话，从'localStorage'提取会话数据和令牌，实时上传服务器。

更危险的是它的反向操作能力。Socket描述：「该插件还处理一条名为set_session_changed的入站消息，清空受害者的localStorage，用攻击者提供的会话数据覆盖，并强制刷新Telegram。」

「这让攻击者能在受害者不知情的情况下，把任意用户的浏览器切换到另一个Telegram账号。」

想象一下：你正在用的Telegram突然变成了别人的账号，而你以为是系统bug。攻击者看到的，是你以为安全的所有对话。

广告劫持与翻译陷阱

除了账号窃取，部分插件还在搞"流量生意"。

Socket发现三款插件会剥离安全头部、向YouTube和TikTok注入广告。另一款翻译工具把用户的翻译请求代理到恶意服务器——你输入的敏感内容，可能先被攻击者存档再返回结果。

还有一款Telegram会话窃取插件处于"待命"状态，使用分阶段基础设施，似乎在为更大规模的激活做准备。

平台审核的失效循环

Socket已向谷歌通报此次行动。但报告发布时，所有恶意插件仍在Chrome应用商店正常提供下载。

BleepingComputer核实确认，报告中列出的多款插件当时仍可获取。该媒体联系谷歌寻求评论，截至发稿未获回应。

这不是Chrome应用商店第一次成为恶意软件的温床。2020年，谷歌曾一次性下架500多款恶意插件；2023年，安全公司发现数十款AI相关插件窃取Facebook广告账号。每次曝光后，平台都承诺加强审核，但攻击者总能找到新缝隙。

核心矛盾在于：Chrome应用商店的自动化审核机制，擅长检测已知的恶意代码特征，却难以识别精心伪装的"正常应用"。攻击者把恶意逻辑拆分成看似无害的片段，上架后再通过远程指令激活——这种"休眠式"攻击让静态扫描形同虚设。

更深层的问题是权限模型的设计。Chrome插件系统允许开发者申请广泛的浏览器权限，而普通用户安装时很少细读权限列表。"增强YouTube体验"的插件，为什么要读取你的谷歌账号信息？大多数人不会追问。

用户能做什么

在谷歌彻底清理之前，几点务实的自我保护：

检查已安装插件。进入chrome://extensions，删除长期不用或来源不明的扩展。特别注意名称含"Telegram客户端""视频增强""免费翻译"等关键词的插件。

审视权限申请。如果一款天气插件要求"读取和更改所有网站数据"，这是过度授权。插件功能与权限不匹配时，果断拒绝。

分离使用场景。敏感操作（网银、工作邮箱、加密通讯）用无插件的隐私窗口，或专门准备一个干净的浏览器配置。

关注Token异常。谷歌账号的"安全性"设置中可查看近期登录活动和第三方应用授权，发现陌生设备或应用立即撤销权限。

插件经济的信任危机

这次事件暴露了一个结构性困境：浏览器插件已成为现代工作流的刚需，但分发平台的审核能力跟不上攻击者的进化速度。当"恶意软件即服务"把攻击门槛降到租服务器、买模板就能开工，单个平台的治理努力注定是打地鼠游戏。

对科技从业者而言，更值得思考的是企业安全策略。越来越多的公司允许员工自行安装生产力插件，而IT部门对浏览器扩展的可见性几乎为零。一次"方便"的翻译工具安装，可能成为供应链攻击的入口。

浏览器厂商会重构权限模型吗？企业会收紧插件白名单吗？还是我们终将接受"便利与风险共生"的新常态——就像移动应用时代我们已经习惯的那样？