108款扩展程序被发现窃取谷歌身份验证信息和Telegram会话等

安全研究团队 Socket 日前发布分析报告披露 Chrome Web Store 中存在的 108 款恶意扩展程序，截至本文发布时，这些恶意扩展程序仍然没有谷歌下架，建议用户自查确保安全。

这些扩展程序看起来毫无关联 (不同开发者名称、不同注册地址、不同的隐私政策网站)，不过实际上都连接到相同的 C2 服务器用于回传信息，因此这显然属于同一个攻击团队。

• 
  54 个扩展程序窃取谷歌账号信息：窃取的信息包括用户邮箱、姓名、头像等，然后回传到服务器。
  


• 
  1 个扩展程序用于劫持 Telegram 会话：这个扩展程序提供所谓的多账号管理功能，但实际上会注入或劫持会话。
  


• 
  45 个扩展程序包含通用后门：可以通过服务器下发命令实现远程控制等目的。
  


• 
  部分扩展程序用于注入广告：在用户访问页面时注入广告或任意 JavaScript 脚本。
  

这些扩展程序均使用相同的子域名例如 tg.cloudapi.stream / mines.cloudapi.stream / api.cloudapi.stream 进行数据外传和心跳通信，形成高度集中的 C2 架构。

由于牵涉的扩展程序非常多，指望用户自查并删除是不现实的，Socket 已经将恶意扩展信息通报给谷歌，不过谷歌目前还未删除这些恶意扩展程序。

如果谷歌执行下架操作，则也会通过云端推送信标到用户端，这样用户的 Chrome 浏览器就会自动禁用这些扩展程序，以此可以安全快速的降低恶意扩展造成的影响。

如果用户需要自查请访问 Socket 页面对照 108 个恶意扩展列表：