HackerNews 编译,转载请注明出处:
未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序,这些程序表面提供生产力工具、VPN、加密服务等实用功能,实则暗藏数据窃取、远程代码执行等恶意模块。
网络安全公司DomainTools调查发现,攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站,诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限,可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码,甚至利用临时DOM元素的“onreset”事件处理器绕过内容安全策略(CSP)。
部分恶意扩展被检测到与超过100个仿冒网站相关联,其中一些网站嵌入了Facebook追踪ID,暗示攻击者可能通过Meta平台(如群组、广告)进行传播。用户安装后,扩展会窃取浏览器Cookie、建立WebSocket代理通道,并操控流量实现重定向攻击。
尽管Google已下架相关扩展,但安全专家指出,攻击者通过在应用商店和常规搜索结果中同时存在虚假页面,大幅提升用户中招概率。更隐蔽的是,部分扩展(如仿冒DeepSeek的案例)将低分评价用户重定向至私人反馈表单,而高分评价则正常显示在官方页面,以此伪造虚假好评。
DomainTools建议用户仅从认证开发者处下载扩展,安装前仔细审查权限请求,警惕名称相似的仿冒应用。同时提醒,评分系统可能被恶意过滤负面评价所操控,需结合多方信息综合判断。目前尚未明确攻击者身份,相关调查仍在进行中。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
