#安全资讯 安全研究团队 Socket 在 Chrome Web Store 发现 108 款恶意扩展程序，用来劫持用户的谷歌账户信息、Telegram 会话、插入广告等等。这些扩展程序看起来毫无关联但都使用相同的 C2 服务器，目前 Socket 已经向谷歌通报但谷歌还未删除这些扩展程序。查看详情：https://ourl.co/112697

安全研究团队 Socket 日前发布分析报告披露 Chrome Web Store 中存在的 108 款恶意扩展程序，截至本文发布时，这些恶意扩展程序仍然没有谷歌下架，建议用户自查确保安全。

这些扩展程序看起来毫无关联 (不同开发者名称、不同注册地址、不同的隐私政策网站)，不过实际上都连接到相同的 C2 服务器用于回传信息，因此这显然属于同一个攻击团队。

恶意扩展分析概览：

• 54 个扩展程序窃取谷歌账号信息：窃取的信息包括用户邮箱、姓名、头像等，然后回传到服务器。
• 1 个扩展程序用于劫持 Telegram 会话：这个扩展程序提供所谓的多账号管理功能，但实际上会注入或劫持会话。
• 45 个扩展程序包含通用后门：可以通过服务器下发命令实现远程控制等目的。
• 部分扩展程序用于注入广告：在用户访问页面时注入广告或任意 JavaScript 脚本。

这些扩展程序均使用相同的子域名例如 tg.cloudapi.stream / mines.cloudapi.stream / api.cloudapi.stream 进行数据外传和心跳通信，形成高度集中的 C2 架构。

谷歌尚未删除这些扩展程序：

由于牵涉的扩展程序非常多，指望用户自查并删除是不现实的，Socket 已经将恶意扩展信息通报给谷歌，不过谷歌目前还未删除这些恶意扩展程序。

如果谷歌执行下架操作，则也会通过云端推送信标到用户端，这样用户的 Chrome 浏览器就会自动禁用这些扩展程序，以此可以安全快速的降低恶意扩展造成的影响。

如果用户需要自查请访问 Socket 页面对照 108 个恶意扩展列表：https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2