超 100 款恶意 Chrome 扩展曝光：账号劫持、数据窃取、广告轰炸！

未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序，这些程序表面提供生产力工具、VPN、加密服务等实用功能，实则暗藏数据窃取、远程代码执行等恶意模块。

网络安全公司DomainTools调查发现，攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站，诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限，可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码，甚至利用临时DOM元素的“onreset”事件处理器绕过内容安全策略（CSP）。

部分恶意扩展被检测到与超过100个仿冒网站相关联，其中一些网站嵌入了Facebook追踪ID，暗示攻击者可能通过Meta平台（如群组、广告）进行传播。用户安装后，扩展会窃取浏览器Cookie、建立WebSocket代理通道，并操控流量实现重定向攻击。

尽管Google已下架相关扩展，但安全专家指出，攻击者通过在应用商店和常规搜索结果中同时存在虚假页面，大幅提升用户中招概率。更隐蔽的是，部分扩展（如仿冒DeepSeek的案例）将低分评价用户重定向至私人反馈表单，而高分评价则正常显示在官方页面，以此伪造虚假好评。

DomainTools建议用户仅从认证开发者处下载扩展，安装前仔细审查权限请求，警惕名称相似的仿冒应用。同时提醒，评分系统可能被恶意过滤负面评价所操控，需结合多方信息综合判断。目前尚未明确攻击者身份，相关调查仍在进行中。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；