可用- Chrome

两款 Chrome 扩展程序被曝秘密窃取超 170 个网站的用户凭据

作者: hackernews 日期: 2025-12-24 分类: 数据泄露 暂无评论
  • 浏览次数 452
  • 喜欢 0
  • 评分 12345

HackerNews 编译,转载请注明出处:

网络安全研究人员发现两款名称相同、开发者一致的恶意谷歌浏览器扩展程序,这两款程序具备拦截网络流量和窃取用户凭据的功能。

这两款扩展程序对外宣传为面向开发者与外贸从业者的 “多地区网络测速插件”。截至本文撰写时,它们仍可被下载获取。两款扩展程序的具体信息如下:

  • 幻影穿梭(ID:fbfldogmkadejddihifklefknmikncaj):用户量 2000 人,于 2017 年 11 月 26 日发布
  • 幻影穿梭(ID:ocpcmfmiidofonkbodpdhgddhlcmcofd):用户量 180 人,于 2023 年 4 月 27 日发布

“用户需支付 9.9 元至 95.9 元人民币(折合 1.40 至 13.50 美元)的订阅费用,以为自己购买的是合法 VPN 服务,但这两款变体程序执行的恶意操作完全相同。”Socket 安全研究员库什・潘迪亚表示。

“在订阅服务的伪装之下,这两款扩展程序通过注入身份验证凭据实现流量的全面拦截,充当中间人代理,并持续将用户数据窃取至威胁发起者的命令与控制服务器。”

毫无防备的用户完成付款后,会获得 VIP 权限,扩展程序随即自动开启 “智能” 代理模式,将来自超 170 个目标域名的流量路由至 C2 基础设施。

技术原理与窃取手段

这两款扩展程序会按宣传内容执行基础功能,以此营造出 “产品可用” 的假象。它们会对代理服务器进行真实的延迟测试,并展示连接状态,但对其核心目的 —— 拦截网络流量、窃取用户凭据 —— 则对用户完全隐瞒。

其恶意功能的实现,是通过对扩展程序内置的两个 JavaScript 库(即 jquery-1.12.2.min.js 和 scripts.js)进行前置恶意修改。相关代码被设计为:通过监听chrome.webRequest.onAuthRequired事件,在所有网站的每次 HTTP 身份验证请求中,自动注入硬编码的代理凭据(用户名:topfany / 密码:963852wei)。

“当任意网站或服务发起 HTTP 身份验证请求(包括基本身份验证、摘要式身份验证或代理身份验证)时,该监听器会在浏览器弹出凭据输入提示框之前触发,” 潘迪亚解释道,“它会立即返回硬编码的代理凭据,整个过程对用户完全透明。异步阻塞模式可确保凭据注入的同步执行,从而避免用户进行任何手动操作。”

用户完成代理服务器身份验证后,扩展程序会利用代理自动配置(PAC)脚本修改谷歌浏览器的代理设置,实现三种运行模式:

  1. 关闭模式:禁用代理功能
  2. 全局模式:将所有网络流量路由至代理服务器
  3. 智能模式:仅将硬编码列表中 170 余个高价值域名的流量路由至代理服务器

该目标域名列表涵盖开发者平台(GitHub、Stack Overflow、Docker)、云服务提供商(亚马逊云科技、DigitalOcean、微软 Azure)、企业级解决方案供应商(思科、IBM、威睿)、社交媒体平台(脸书、照片墙、推特),以及成人内容网站。Socket 推测,将成人网站纳入目标,可能是为了对受害者实施敲诈勒索。

这一系列操作带来的最终后果是:用户的网络流量会被路由至威胁发起者控制的代理服务器,同时扩展程序会以 60 秒为间隔,向其位于phantomshuttle[.]space的 C2 服务器发送心跳包,目前该域名仍处于运行状态。这一机制让攻击者获得中间人(MitM)攻击位置,进而实现流量捕获、响应篡改和任意有效载荷注入。

更值得警惕的是,心跳数据包会通过 HTTP GET 请求,每五分钟向外部服务器传输一次 VIP 用户的电子邮箱、明文密码及程序版本号,以此实现用户凭据的持续窃取和会话监控。

Socket 指出:“心跳机制的数据窃取(涵盖凭据与元数据),再加上代理中间人攻击(实时流量捕获),让这款扩展程序在运行期间具备持续、全面的数据窃取能力。”

简言之,当用户开启 VIP 模式访问目标域名时,该扩展程序可窃取其密码、信用卡号、身份验证 Cookie、浏览历史、表单数据、应用程序编程接口(API)密钥和访问令牌。此外,开发者相关机密信息的泄露,还可能为供应链攻击埋下隐患。

攻击团伙溯源线索

目前,这一已持续八年的恶意操作的幕后黑手身份仍不明确,但多项线索指向其为中国境内的操作团伙:扩展程序的描述文本使用中文;支付环节集成了支付宝与微信支付渠道;其 C2 服务器搭建于阿里云平台。

Socket 评价称:“订阅模式既实现了受害者留存,又能产生收益;再加上整合支付功能的专业化基础设施,共同构建起‘合法产品’的虚假外衣。用户以为自己购买的是 VPN 服务,却在毫不知情的情况下,任由自身网络流量被完全操控。”

安全建议

该研究发现凸显出,浏览器扩展程序正成为企业网络中一个缺乏管控的风险点。安全研究人员建议,已安装这两款扩展程序的用户应立即卸载;企业安全团队则需采取以下防护措施:部署扩展程序白名单机制、密切监控带有订阅付费功能且具备代理权限的扩展程序、对可疑的代理身份验证尝试开展网络监测。

消息来源:thehackernews

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文