Notebookcheck Logo

包括 "Adblock for Chrome "在内的 16 款流行 Chrome 扩展程序在大规模网络攻击中被劫持

共有 320 万用户受到谷歌 Chrome 浏览器扩展程序被入侵的影响。(图片来源:Google - 编辑)
共有 320 万用户受到谷歌 Chrome 浏览器扩展程序被入侵的影响。(图片来源:Google - 编辑)
在一次大规模攻击中,"Adblock for Chrome "和 "WAToolkit "等 16 个流行的 Chrome 浏览器扩展被劫持,通过注入恶意脚本进行欺诈和重定向联盟流量,使 320 万用户受到影响。
Security Software

重大 安全漏洞通过一个恶意浏览器扩展网络,超过 320 万用户受到了威胁。这些扩展程序故意伪装成合法的,但却被发现注入有害脚本、窃取数据,甚至参与搜索引擎欺诈。研究人员已经确定这次攻击是通过供应链漏洞实施的,攻击者潜入受信任的扩展程序,在用户毫无察觉的情况下推送恶意更新。

这些扩展原本是为广告拦截、表情符号键盘和屏幕捕捉等功能而设计的。然而,更新引入了混淆脚本,使未经授权的数据渗入、HTTP 请求修改和向网页注入广告成为可能。所有这些变化都没有被早先授予这些扩展权限的用户察觉,这使得攻击者可以实时操纵网络活动。多位安全专家指出,授予这些扩展的权限(包括主机访问和脚本控制)使它们变得特别危险。

以下是所有 16 个受影响的 Chrome 浏览器扩展的完整列表:

  • Blipshot(一键全页截图)
  • 表情符号--表情符号键盘
  • WAToolkit
  • 用于 YouTube 的换色器
  • 适用于 YouTube 的视频特效和音频增强器
  • 适用于 Chrome 浏览器和 YouTube™ 的主题画中画
  • Mike Adblock für Chrome| Chrome-Werbeblocker
  • 页面刷新
  • Wistia 视频下载器
  • 超级黑暗模式
  • 用于 Chrome 浏览器的表情符号键盘
  • 适用于 Chrome 浏览器的广告屏蔽程序 - NoAds
  • 为您屏蔽广告
  • 用于 Chrome 浏览器的广告屏蔽
  • 敏捷捕捉
  • KProxy

调查发现,这次攻击的源头是被入侵的开发者账户。一些开发者在不知情的情况下最终将其扩展程序的控制权转移给了攻击者,攻击者随后通过官方浏览器扩展程序商店发布了恶意更新。这次攻击的基础架构似乎与之前已知的网络钓鱼行动有关。威胁者利用 "host_permissions"、"scripting "和 "declarativeNetRequest "等权限实现了这一目标。

该活动另一个令人担忧的方面是它与之前的供应链攻击相似,攻击者利用可信软件来传播恶意软件。通过使用浏览器扩展更新机制,攻击者可以绕过传统的安全措施。

目前,已从官方平台上删除了确定的扩展程序。不过,建议用户在安装新的扩展程序之前,不要完全依赖对扩展程序的正面评价。

Chrome 网上商城的一些评论与 GitLab Security Tech Notes 的报告一致。(图片来源:GitLab 安全技术笔记/Chrome 网上商城)
Chrome 网上商城的一些评论与 GitLab Security Tech Notes 的报告一致。(图片来源:GitLab 安全技术笔记/Chrome 网上商城)
Please share our article, every link counts!
Mail Logo
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2025 02 > 包括 "Adblock for Chrome "在内的 16 款流行 Chrome 扩展程序在大规模网络攻击中被劫持
Anubhav Sharma, 2025-02-27 (Update: 2025-02-27)