热门 Chrome 扩展遭黑客劫持:广告拦截器也中招,用户如何自保?
2025年2月,GitLab 威胁情报团队发现至少16个恶意 Chrome 扩展,波及超320万用户。这些扩展原本由可靠开发者通过官方商店发布,后经恶意"更新"植入恶意代码。
调查显示,攻击源于开发者账户被盗。部分开发者早已停止维护扩展导致失控,而仍在维护的账户很可能遭遇钓鱼攻击。
恶意更新会植入隐蔽脚本,悄无声息地窃取数据、篡改网页请求并注入广告。由于用户已预先授予权限,这些操作难以察觉,攻击者得以肆意操控网页内容与用户“交流”。
用户面临哪些风险?
虽然本次攻击的具体危害尚不明确,但「主机访问权限」和「脚本控制权」等权限极其危险——攻击者可借此窃取信用卡信息、登录凭证、身份验证令牌和 Cookie,甚至接管用户账户或窥探私密消息。
扩展还能实时篡改网页内容,例如在银行网站修改交易信息实施诈骗。此外,攻击者可能会注入广告、跳转钓鱼网站,或制造虚假点击骗取广告收益。
受害用户在 Chrome 应用商店的评论区纷纷反应异常情况,包括广告植入、服务链接被添加推广 ID,以及调试函数 console.log 出现异常等:
广告拦截器的信任危机
共有 16 个扩展程序被入侵,请参见研究页面查看完整列表。不过,让我们印象深刻的是,列表中包含三个是广告拦截程序(Adblocker for Chrome - NoAds、Adblock for You 和 Adblock for Chrome)。
作为同行,我们对此尤为担忧。五年前,我们揭露了'假冒'广告拦截扩展参与了为广告欺诈而填充 Cookie 的活动。这些受远程控制的扩展程序悄悄地将联盟 Cookie 注入用户的浏览器。重要的是,其中一些扩展程序是所谓的“定时炸弹”,一旦远程服务器发出进一步指令,它们就会采取更多恶意行动。因此,选择一个值得信赖的广告拦截解决方案至关重要。
本次事件中,开发者本无恶意,其扩展最初也是安全的。但为防患未然,我们重申以下准则:
- 仅从官方商店或可信渠道安装扩展
- 安装前核查开发者背景
- 仔细阅读隐私政策,了解数据用途
- 谨慎授予权限,警惕过度索权
- 定期清理闲置扩展,降低恶意更新风险
用户常因扩展看似实用或可靠而草率授权。这些权限在扩展移除前始终有效,攻击者可长期利用。更棘手的是,扩展自动更新机制可能让可靠扩展悄然变身为恶意程序。
目前涉事扩展已从 Chrome 商店下架,但用户仍需手动卸载,并对类似攻击保持警惕。
欲知更多应用可信度评估技巧,请参阅 TechTok 系列第五期。安全无小事,谨慎选择方能防患未然!
