Chrome Web Store的審核機(jī)制，這次被同一批人戲耍了108次。

網(wǎng)絡(luò)安全公司Socket的最新發(fā)現(xiàn)顯示，五個(gè)不同開發(fā)者賬號上架的瀏覽器插件，背后共享同一臺服務(wù)器。它們像五根手指長在一只手上，分工明確：有的專偷谷歌賬號，有的盯上Telegram會話，有的負(fù)責(zé)給網(wǎng)頁"加料"——賭博廣告、惡意腳本、任意跳轉(zhuǎn)，用戶毫無察覺。

20,000次安裝，意味著20,000個(gè)瀏覽器成了透明玻璃房。

五個(gè)馬甲，同一套劇本

這108個(gè)插件分屬五個(gè)發(fā)布者身份：Yana Project、GameGen、SideGames、Rodeo Games、InterAlt。名字聽起來人畜無害，有的打著游戲旗號，有的偽裝成翻譯工具，還有的直接叫"Telegram多賬號客戶端"。

安全研究員Kush Pandya在分析報(bào)告中指出：「全部108個(gè)插件都將竊取的憑證、用戶身份和瀏覽數(shù)據(jù)路由到同一運(yùn)營者控制的服務(wù)器。」

這種"廣撒網(wǎng)"策略很直白。插件功能越雜，覆蓋的用戶群體越寬——從想同時(shí)登錄多個(gè)Telegram賬號的商務(wù)人士，到只想給YouTube加個(gè)暗黑模式的普通用戶，都可能中招。

但安裝后的真實(shí)行為與宣傳完全兩碼事。

三種攻擊路徑，按插件"分工"執(zhí)行

54個(gè)插件專攻谷歌賬號。它們利用OAuth2協(xié)議，在用戶點(diǎn)擊登錄按鈕的瞬間，把郵箱、姓名、頭像URL、谷歌賬戶ID打包發(fā)往境外服務(wù)器。用戶以為自己在授權(quán)給"Formula Rush Racing Game"這個(gè)賽車游戲，實(shí)際上是在給陌生人交出家底。

45個(gè)插件埋了更隱蔽的后門。瀏覽器每次啟動(dòng)，它們就自動(dòng)打開攻擊者指定的URL。這可能是釣魚頁面，可能是廣告聯(lián)盟鏈接，也可能是下一個(gè)惡意軟件的下載站。用戶甚至不會注意到多了一個(gè)標(biāo)簽頁。

剩下的插件則像瑞士軍刀，功能混搭：每15秒竊取一次Telegram Web會話，把用戶_auth token抽走；強(qiáng)制覆蓋localStorage，用攻擊者的會話數(shù)據(jù)替換掉用戶的登錄狀態(tài)；給YouTube和TikTok"脫衣服"——?jiǎng)冸xContent Security Policy、X-Frame-Options、CORS等安全頭，方便注入賭博廣告覆蓋層；所有翻譯請求先經(jīng)過攻擊者服務(wù)器，用戶輸入的敏感內(nèi)容被全程圍觀。

「五個(gè)插件使用Chrome的declarativeNetRequest API，在頁面加載前剝離目標(biāo)站點(diǎn)的安全頭，」Socket在報(bào)告中補(bǔ)充，「全部108個(gè)惡意插件共享同一后端，托管于144.126.135[.]238。」

這個(gè)IP地址成了串聯(lián)所有線索的關(guān)鍵指紋。無論前端偽裝成什么模樣，數(shù)據(jù)最終都流向同一處。

Telegram成了重災(zāi)區(qū)：會話劫持的完整鏈條

以"Telegram Multi-account"（ID: obifanppcpchlehkjipahhphbcbjekfa）為例，它的操作堪稱精細(xì)。

插件首先提取Telegram Web使用的user_auth token——這是維持登錄狀態(tài)的核心憑證。隨后，數(shù)據(jù)被外傳到遠(yuǎn)程服務(wù)器。更狠的是，它還能用攻擊者提供的會話數(shù)據(jù)覆蓋本地存儲，強(qiáng)制加載即時(shí)通訊應(yīng)用，把受害者當(dāng)前活躍的Telegram會話替換成攻擊者選定的會話。

這意味著什么？攻擊者不需要知道你的密碼。只要你在瀏覽器里裝了這款"多賬號工具"，你的Telegram賬號就可能變成別人的提線木偶。聊天記錄、聯(lián)系人列表、云端文件，全部暴露。

另一款"Web Client for Telegram - Teleside"（ID: mdcfennpphkngnibjbpnpaafcjnhcjno）的手法類似，但多了剝離安全頭、注入腳本兩個(gè)步驟，為后續(xù)攻擊鋪平道路。

谷歌賬號的竊取則發(fā)生在用戶"主動(dòng)配合"的時(shí)刻。"Formula Rush Racing Game"會等待受害者第一次點(diǎn)擊登錄按鈕，然后截獲OAuth2流程返回的身份信息。游戲界面還在加載，數(shù)據(jù)已經(jīng)飛越大洋。

審核機(jī)制的盲區(qū)：為什么108個(gè)插件能共存

Chrome Web Store的自動(dòng)化審核，擅長識別已知的惡意代碼特征。但這次攻擊者玩的是"分布式"策略——同一個(gè)后端，五個(gè)不同賬號，108個(gè)獨(dú)立上架的插件。

單個(gè)插件的代碼量可能很小，行為模式也不雷同：有的只偷谷歌，有的只開后門，有的專注廣告注入。它們在上架審核時(shí)看起來互不相干，直到安全研究人員把數(shù)據(jù)外發(fā)的目的地一比對，才發(fā)現(xiàn)是同一盤棋。

這種"化整為零"的手法，讓傳統(tǒng)基于特征碼的檢測失效。更麻煩的是，插件更新機(jī)制可以被濫用——上架時(shí)干凈的代碼，后續(xù)通過遠(yuǎn)程配置下發(fā)惡意模塊。用戶看到的版本號在漲，功能列表在變，但權(quán)限早已越界。

20,000的安裝量不算天文數(shù)字，卻足夠說明問題。瀏覽器插件的權(quán)限模型設(shè)計(jì)于另一個(gè)時(shí)代，當(dāng)時(shí)"讀取和更改所有訪問網(wǎng)站的數(shù)據(jù)"被視為合理請求，因?yàn)閺V告攔截器、密碼管理器確實(shí)需要這個(gè)能力。但這項(xiàng)權(quán)限一旦落入惡意之手，用戶在整個(gè)互聯(lián)網(wǎng)上的活動(dòng)都變成裸奔。

Socket沒有公布完整的108個(gè)插件清單，但給出了幾個(gè)典型樣本的ID。對于普通用戶，檢查自己安裝的插件是否來自這五個(gè)發(fā)布者，是目前最直接的自查方式。而那些已經(jīng)卸載的用戶，需要假設(shè)自己的谷歌和Telegram憑證已經(jīng)泄露——改密碼、 revoke 授權(quán)、檢查登錄歷史，一個(gè)都不能少。

攻擊者的服務(wù)器還在運(yùn)行嗎？那些被盜的會話數(shù)據(jù)流向了哪里？2萬個(gè)賬號中，有多少已經(jīng)被二次利用？這些問題，Chrome Web Store的運(yùn)營方和執(zhí)法機(jī)構(gòu)或許正在追查，但答案不會很快公開。