HackerNews 编译，转载请注明出处： 名为 “QuickLens – Search Screen with Google Lens” 的 Chrome 扩展已被从 Chrome 应用商店下架，该扩展遭入侵后推送恶意软件，并试图窃取数千名用户的加密货币。 QuickLens 最初是一款允许用户在浏览器中直接使用 Google Lens 搜索的 Chrome 扩展。该扩展用户量约达 7000，并曾获得 Google 官方推荐标识。 但在 2026 年 2 月 17 日，该扩展发布了 5.8 新版本，其中包含恶意脚本，可实施 ClickFix 攻击并窃取用户信息。 恶意 QuickLens 浏览器扩展 Annex 安全研究人员首次报告称，该扩展在开发者交易平台 ExtensionHub 出售后，近期已更换所有者。 Annex 表示，2026 年 2 月 1 日，所有者变更为 support@doodlebuggle.top，所属实体为 “LLC Quick Lens”，新隐私政策托管在一个几乎无法使用的域名上。仅两周多后，恶意更新便推送给了用户。 Annex 分析显示，5.8 版本申请了新的浏览器权限，包括 declarativeNetRequestWithHostAccess 和 webRequest。 该版本还包含 rules.json 文件，可移除所有页面与框架中的浏览器安全头，包括 Content-Security-Policy (CSP)、X-Frame-Options 和 X-XSS-Protection。这些安全原本会增加在网站上运行恶意脚本的难度。 该更新还会与位于 api.extensionanalyticspro [.] top 的命令与控制（C2）服务器通信。据 Annex 称，该扩展生成持久 UUID，通过 Cloudflare 追踪接口获取受害者国家信息，识别浏览器与操作系统，随后每 5 分钟轮询 C2 服务器获取指令。 BleepingComputer 本周在看到大量用户反馈在所有访问页面均出现伪造 Google 更新提示后，注意到该扩展。 一名用户在 Reddit 求助称：“我访问的每个网站都弹出这个，我以为是 Chrome 没更新，但更新后依然出现。我当然不会在运行框里执行它复制到剪贴板的代码，但它每个网站都弹，导致我无法进行任何操作。” BleepingComputer 对该扩展的分析显示，它会连接到 C2 服务器 https://api.extensionanalyticspro [.] top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto，并接收一组恶意 JavaScript 脚本。 这些载荷会在每次页面加载时执行，使用的技术被 Annex 称为 “1×1 GIF 像素 onload trick”。 恶意 JavaScript 载荷数组（来源：BleepingComputer） 由于该扩展移除了所有访问网站的 CSP 头，因此即使在通常会阻止内联 JavaScript 的网站上也能执行。 第一个载荷会连接 google-update [.] icu，获取额外载荷并显示伪造的 Google 更新提示。点击更新按钮会触发 ClickFix 攻击，诱导用户在电脑上运行代码以完成验证。 导致 ClickFix 攻击的伪造 Google 更新提示（来源：Reddit） 对于 Windows 用户，会下载名为 googleupdate.exe 的恶意可执行文件。 执行后，恶意软件启动隐藏 PowerShell 命令，再启动第二个 PowerShell 进程，使用自定义 “Katzilla” 用户代理连接 drivers [.] solutions/META-INF/xuoa.sys。响应内容通过管道传入 Invoke-Expression 执行。但在 BleepingComputer 分析载荷时，该第二阶段 URL 已不再提供恶意内容。 由 https://api.extensionanalyticspro [.] top C2 下发的另一个恶意 JavaScript “代理” 用于窃取加密货币钱包与凭据。 该扩展会检测是否安装了 MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Solflare、Backpack、Brave Wallet、Exodus、Binance Chain Wallet、WalletConnect、Argon 等加密货币钱包。若检测到，则会尝试窃取操作记录与助记词，用于劫持钱包并盗取资产。 另一个脚本会捕获登录凭据、支付信息及其他敏感表单数据。 其他载荷用于爬取 Gmail 收件箱内容、提取 Facebook Business Manager 广告账户数据、收集 YouTube 频道信息。 现已下架的该扩展页面评论称，macOS 用户会被投放 AMOS (Atomic Stealer) 信息窃取器。BleepingComputer 无法独立核实该说法。 Google 已将 QuickLens 从 Chrome 应用商店下架，Chrome 会自动为受影响用户禁用该扩展。 QuickLens 被 Chrome 禁用并标记为恶意软件（来源：BleepingComputer） 安装过 QuickLens – Search Screen with Google Lens 的用户应彻底卸载该扩展，扫描设备恶意软件，并重置浏览器中保存的所有密码。 若使用上述任一加密货币钱包，应将资金转移至新钱包。 该扩展并非首个用于 ClickFix 攻击的扩展。上月，Huntress 发现一款浏览器扩展会故意导致浏览器崩溃，随后显示伪造修复程序并安装 ModeloRAT 恶意软件。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起大规模数据窃取活动曝光：287 款 Chrome 扩展程序秘密窃取全球约 3740 万用户的浏览历史。 代号 qcontinuum1 的研究人员发现，受影响用户约占全球 Chrome 用户总量的 1%，这是一起波及数百万网民的重大隐私泄露事件。 研究人员搭建了基于 Docker 容器与中间人代理的自动化扫描系统，用于检测可疑网络行为。 该系统监控扩展程序的外发流量，判断数据传输是否与 URL 长度相关 —— 这是识别浏览历史窃取行为的核心特征。 中间人代理拦截恶意 Chrome 扩展程序流量（来源：GitHub） 这些恶意扩展使用多种混淆技术掩盖其窃取行为。 部分扩展采用 ROT47 编码，还有部分使用 AES-256 加密搭配 RSA 密钥对，对浏览数据加密后再传输至远程服务器。 知名扩展程序 “Poper Blocker”“Stylish”“BlockSite” 均被列入恶意程序名单。调查发现，多家数据经纪商参与了用户信息的收集活动。 知名网络分析公司 Similarweb 运营多款扩展，包括其官方产品 “Website Traffic & SEO Checker”，该扩展拥有 100 万用户。 研究还发现与 Similarweb 关联的 Big Star Labs，其管控的扩展程序影响 370 万用户。 即便安装量达 600 万的正规安全工具 Avast Online Security，也因存在数据收集行为被标记。 隐私安全影响 被窃取的浏览数据除用于精准广告外，还会带来多重严重风险。 若员工安装看似无害的办公类扩展，这些程序会窃取内部 URL、内网地址与 SaaS 平台面板链接，为企业间谍活动提供可乘之机。 URL 通常包含个人标识信息，恶意分子可借此对特定人员实施精准攻击。研究人员搭建蜜罐陷阱，监测到第三方爬虫工具在主动收集被盗数据。 扩展程序泄露 Honey URL（来源：GitHub） 与 Kontera 等公司关联的多个 IP 地址反复访问蜜罐，表明存在一个利用用户浏览历史牟利的完整黑色产业链。 用户应立即核查已安装的 Chrome 扩展，卸载研究报告中列出的恶意程序。Chrome 网上应用店约有 24 万款扩展，人工逐一核验难度极大。 依据 qcontinuum1 的安全建议，专家推荐仅安装可审核代码的开源扩展，并在安装前仔细核查权限申请。 研究团队刻意未披露具体技术细节，避免攻击者快速调整作案手段。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一款恶意谷歌Chrome扩展的详细信息，该扩展伪装成一个可在MEXC（一个在170多个国家可用的中心化加密货币交易所）平台上实现交易自动化的工具，实则能够窃取与之关联的API密钥。 这款名为”MEXC API Automator”（ID：pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序，截至发稿时在Chrome网上应用店仍可下载，已记录了29次下载。它由一位名为”jorjortan142″的开发者于2025年9月1日首次发布。 安全研究机构Socket的研究员Kirill Boychenko在一份分析报告中指出：”该扩展能以编程方式创建新的MEXC API密钥、启用提款权限、在用户界面中隐藏该权限，并将生成的API密钥和密钥外泄至威胁行为者控制的一个硬编码的Telegram机器人。” 根据Chrome网上应用店的列表描述，这款网页浏览器插件被宣传为一个扩展，可通过在API管理页面上生成具有必要权限的API密钥，”简化将您的交易机器人与MEXC交易所的连接”。 如此一来，安装此扩展后，威胁行为者就能控制从受感染浏览器访问的任何MEXC账户，从而能够执行交易、进行自动提款，甚至清空通过该服务可访问的钱包和余额。 Socket补充道：”实际上，一旦用户导航到MEXC的API管理页面，该扩展就会注入一个单一的内容脚本script.js，并在已认证的MEXC会话内开始操作。”为了实现这一目的，该扩展会检查当前URL是否包含字符串"/user/openapi"，该字符串指向API密钥管理页面。 随后，该脚本会以编程方式创建一个新的API密钥，并确保启用了提款功能。同时，它会篡改页面的用户界面，让用户误以为提款权限已被禁用。一旦生成访问密钥和密钥的过程完成，该脚本会提取这两个值，并通过HTTPS POST请求将它们传输到威胁行为者控制下的一个硬编码的Telegram机器人。 此威胁构成了严重风险，因为只要API密钥有效且未被撤销，它就会一直保持活跃状态，即使受害者从Chrome浏览器中卸载了该扩展，攻击者仍能不受限制地访问受害者的账户。 Boychenko指出：”实质上，威胁行为者利用Chrome网上应用店作为传播渠道，利用MEXC的Web UI作为执行环境，并利用Telegram作为外泄渠道。其结果就是一个专门构建的、旨在窃取MEXC API密钥的扩展，它在API密钥被创建和配置为拥有完全权限的瞬间发起攻击。” 这种攻击之所以能够实现，是因为它利用了浏览器已通过身份验证的会话来达到其目的，从而无需获取用户密码或绕过身份验证保护。 目前尚不清楚此次攻击背后的操纵者是谁，但”jorjortan142″这个名称指向了一个同名的X平台账号，该账号链接到一个名为”SwapSushiBot”的Telegram机器人，这个机器人也在TikTok和YouTube上进行了推广。关联的YouTube频道创建于2025年8月17日。 Socket表示：”通过在浏览器内劫持单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提款权限、长期有效的API密钥。同样的攻击手法可以很容易地适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的Web控制台，并且未来的变种很可能会引入更重的混淆技术、请求更广泛的浏览器权限，并将支持多个平台的功能捆绑到一个扩展中。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文