你每天打開的瀏覽器插件，可能正在每15秒竊取一次你的社交賬號。

安全團(tuán)隊Socket的最新發(fā)現(xiàn)讓人脊背發(fā)涼：同一批攻擊者向Chrome官方商店塞進(jìn)了108款惡意擴(kuò)展，覆蓋從翻譯工具到游戲娛樂的五個品類。更諷刺的是——它們?nèi)纪ㄟ^了谷歌的審核。

這些插件到底在偷什么？

Socket的研究拆出了三層攻擊面。

第一層是身份憑證。54款擴(kuò)展在后臺收割用戶的郵箱、姓名、頭像和谷歌賬戶ID，同時盜取谷歌OAuth2的Bearer令牌（一種用于身份驗證的訪問憑證）。這意味著攻擊者可以繞過密碼，直接以你的身份登錄第三方服務(wù)。

第二層是遠(yuǎn)程控制。45款擴(kuò)展內(nèi)置后門，持續(xù)從命令控制服務(wù)器（C2）獲取指令，隨時在用戶瀏覽器里打開任意網(wǎng)址。你的設(shè)備成了別人手里的傀儡。

第三層最隱蔽：78款擴(kuò)展向用戶界面注入攻擊者控制的HTML代碼，還有部分直接剝離安全頭部、向YouTube和TikTok頁面塞廣告。你看到的頁面，可能已經(jīng)被"整容"過了。

最危險的一款專門針對Telegram Web用戶——每15秒竊取一次會話數(shù)據(jù)。想象一下，你的加密聊天窗口開著，后臺有個定時器在持續(xù)復(fù)制你的登錄狀態(tài)。

正方觀點：谷歌的審核機(jī)制存在結(jié)構(gòu)性漏洞

這批擴(kuò)展的偽裝手法并不復(fù)雜。它們被包裝成五類常見工具：Telegram側(cè)邊欄客戶端、老虎機(jī)和基諾游戲、YouTube/TikTok增強(qiáng)器、文本翻譯工具、瀏覽器實用程序。

表面功能全部正常運作。用戶下載后確實能用——翻譯能翻、游戲能玩、視頻增強(qiáng)也生效。惡意代碼藏在深層，只在特定條件下激活。

這種"雙面性"擊中了自動化審核的盲區(qū)。谷歌的商店掃描主要依賴靜態(tài)分析和行為沙箱，但攻擊者顯然摸清了觸發(fā)條件：惡意載荷延遲加載、C2通信偽裝成正常API調(diào)用、數(shù)據(jù)回傳加密混淆。

更深層的問題是權(quán)限模型的寬松。一款"翻譯工具"為什么要讀取你的谷歌賬戶信息？一款"游戲"為什么需要訪問所有網(wǎng)站的數(shù)據(jù)？大多數(shù)用戶不會細(xì)想，一鍵授權(quán)后，攻擊者就拿到了通行證。

Chrome Web Store每月處理數(shù)萬款擴(kuò)展提交，人工審核不現(xiàn)實。但Socket的發(fā)現(xiàn)表明，自動化防線正在被系統(tǒng)性繞過——同一批攻擊者能連續(xù)投放108款，說明他們發(fā)現(xiàn)了一條可復(fù)制的入侵路徑。

反方觀點：用戶自身的選擇同樣關(guān)鍵

批評者會指出，商店審核只是最后一道閘，而非唯一防線。

這108款擴(kuò)展的累計安裝量尚未公開，但參考同期案例——假Chrome AI擴(kuò)展曾波及超30萬用戶，VKontakte賬號劫持案涉及50多萬賬戶——惡意擴(kuò)展的規(guī)模效應(yīng)不容小覷。然而，這些數(shù)字背后有一個共同特征：用戶主動選擇了它們。

"免費"是最古老的誘餌。游戲類擴(kuò)展承諾無需付費即可暢玩，增強(qiáng)器宣稱能解鎖隱藏功能，翻譯工具標(biāo)榜比官方更好用。在功能誘惑面前，權(quán)限警告被習(xí)慣性忽略。

瀏覽器擴(kuò)展的權(quán)限提示設(shè)計也存在問題。安裝時的彈窗列出十幾項權(quán)限，普通用戶既看不懂術(shù)語，也評估不了風(fēng)險。一鍵"添加擴(kuò)展"成了肌肉記憶。

此外，擴(kuò)展一旦安裝就長期潛伏。不像釣魚鏈接需要即時互動，惡意擴(kuò)展可以靜默運行數(shù)月，直到用戶某天發(fā)現(xiàn)賬戶異常或收到安全警報。這種延遲性讓攻擊更難追溯。

企業(yè)安全團(tuán)隊面臨額外困境。員工在個人設(shè)備上安裝的擴(kuò)展，可能通過同步功能流入公司環(huán)境。OAuth2令牌被盜后，攻擊者訪問的不只是個人Gmail，可能是企業(yè)Workspace里的文檔、郵件、日歷。

我的判斷：這是一場"信任基礎(chǔ)設(shè)施"的崩塌

雙方都有道理，但問題的核心比"審核vs用戶"更深。

Chrome Web Store曾是瀏覽器擴(kuò)展的"官方認(rèn)證"標(biāo)志。用戶默認(rèn)相信：能進(jìn)商店的，至少是安全的。這種信任被攻擊者 weaponized（武器化）了——他們不需要攻破谷歌的服務(wù)器，只需要攻破谷歌的信譽體系。

108款擴(kuò)展不是偶然失誤，是工業(yè)化投放的結(jié)果。五個品類覆蓋不同用戶群體：游戲吸引休閑用戶，翻譯工具瞄準(zhǔn)跨國工作者，Telegram客戶端切中隱私敏感人群。攻擊者在用產(chǎn)品思維做惡意軟件分發(fā)。

更值得警惕的是技術(shù)債務(wù)的累積。OAuth2令牌、瀏覽器會話、自動同步機(jī)制——這些便利功能的設(shè)計假設(shè)是"終端環(huán)境可信"。當(dāng)終端被惡意擴(kuò)展?jié)B透，整個身份架構(gòu)都在裸奔。

谷歌的應(yīng)對將是觀察窗口。2024年以來，Chrome團(tuán)隊已收緊擴(kuò)展權(quán)限政策，要求更嚴(yán)格的遠(yuǎn)程代碼限制，并推動Manifest V3標(biāo)準(zhǔn)以減少后臺腳本的濫用空間。但政策落地需要時間，而攻擊者已經(jīng)在適應(yīng)新規(guī)則。

對企業(yè)而言，這記警鐘足夠響亮。擴(kuò)展管理需要從"員工自律"轉(zhuǎn)向"強(qiáng)制管控"——瀏覽器策略白名單、權(quán)限預(yù)審、行為監(jiān)控。個人用戶則面臨更殘酷的現(xiàn)實：在便利和安全之間，默認(rèn)選項正在變得危險。

Socket的研究沒有給出這108款擴(kuò)展的具體名稱列表，這是安全披露的慣例——防止攻擊者提前清理證據(jù)，也給谷歌留出響應(yīng)窗口。但這也意味著，普通用戶無法自查是否"中招"。

唯一確定的是：官方商店的金色徽章，不再是安全保證。下一次點擊"添加擴(kuò)展"之前，值得多問一句——這個功能，真的需要這么多權(quán)限嗎？