Chrome浏览器扩展程序所有权转移后变恶意软件

两个Google Chrome浏览器扩展程序在所有权转移后变成恶意软件，为攻击者提供了向下游客户推送恶意软件、注入任意代码和窃取敏感数据的途径。

涉事扩展程序及用户数量

涉及的两个扩展程序最初都与开发者”akshayanuonline@gmail.com”（BuildMelon）相关：

QuickLens – Search Screen with Google Lens（ID: kdenlnncndfnhkognokgfpabgkgehodd）- 7000名用户

ShotBird – Scrolling Screenshots, Tweet Images & Editor（ID: gengfhhkjekmlejbhmmopegofnoifnjp）- 800名用户

虽然QuickLens已无法从Chrome网上应用店下载，但截至发稿时ShotBird仍可访问。ShotBird最初于2024年11月推出，其开发者Akshay Anu S在X平台声称该扩展适用于”创建专业的工作室级视觉效果”，并且所有处理都在本地进行。

恶意更新分析

根据monxresearch-sec发布的研究，ShotBird在2025年1月获得”精选”标识，随后在上个月被转移给不同的开发者”loraprice198865@gmail.com”。

类似地，QuickLens在发布仅两天后的2025年10月11日就被”akshayanuonline@gmail.com”在ExtensionHub上挂牌出售。2026年2月1日，该扩展的所有者在Chrome网上应用店列表页面上更改为”support@doodlebuggle.top”。

QuickLens在2026年2月17日引入的恶意更新保持了原有功能，但增加了从每个HTTP响应中剥离安全标头（如X-Frame-Options）的能力，允许注入网页的恶意脚本向其他域发出任意请求，绕过内容安全策略(CSP)保护。

此外，该扩展还包含对用户所在国家进行指纹识别、检测浏览器和操作系统的代码，每五分钟轮询外部服务器接收JavaScript代码，这些代码存储在浏览器的本地存储中，通过添加隐藏的1×1 GIF img元素并将JavaScript字符串设置为其”onload”属性，在每次页面加载时执行。

攻击手法升级

ShotBird扩展的分析显示，它使用直接回调来传递JavaScript代码，而不是创建1×1像素图像来触发执行。JavaScript被设计为显示虚假的Google Chrome浏览器更新提示，用户点击后会被引导到ClickFix风格的页面，打开Windows运行对话框，启动”cmd.exe”并粘贴PowerShell命令，导致在Windows主机上下载名为”googleupdate.exe”的可执行文件。

恶意软件随后会钩取输入、文本区域、选择HTML元素，并捕获受害者输入的任何数据。这可能包括凭据、PIN码、卡片详细信息、令牌和政府标识符。它还能够窃取存储在Chrome网络浏览器中的数据，如密码、浏览历史和扩展相关信息。

威胁评估

评估显示，同一威胁行为者负责了两个扩展的妥协，并且正在并行操作它们，因为使用了相同的命令控制(C2)架构模式、注入浏览上下文的ClickFix诱饵，以及将所有权转移作为感染向量。

有趣的是，原始扩展开发者在Chrome网上应用店以自己的名义发布了其他几个扩展，它们都获得了精选徽章。该开发者在ExtensionHub上也有账户，尽管目前没有扩展挂牌出售。此外，该个人还试图以2500美元的价格出售”AIInfraStack.com”等域名。

相关威胁趋势

Microsoft警告了伪装成合法AI助手工具的恶意基于Chromium的浏览器扩展，这些扩展会收集大语言模型聊天历史和浏览数据。

威胁猎手还标记了一个名为imΤoken Chromophore的恶意Chrome扩展，该扩展冒充imToken，同时在Chrome网上应用店中宣传自己为十六进制颜色可视化工具，通过钓鱼重定向窃取加密货币种子短语。

防范建议

建议用户立即从浏览器中删除任何前述扩展程序，避免侧载或安装未经验证的生产力扩展，并审查浏览器中的未知扩展并卸载它们。

Q&A

Q1：QuickLens和ShotBird扩展程序是如何变成恶意软件的？

A：这两个扩展程序在所有权转移后变成恶意软件。QuickLens被转移给”support@doodlebuggle.top”，ShotBird被转移给”loraprice198665@gmail.com”。新所有者随后向所有现有用户推送了武器化更新，保持原有功能但添加了恶意代码。

Q2：这些恶意扩展程序能够窃取哪些类型的数据？

A：这些恶意扩展能够窃取包括用户凭据、PIN码、银行卡详细信息、令牌和政府标识符在内的敏感数据。它们还可以窃取Chrome浏览器中存储的密码、浏览历史和扩展相关信息。通过钩取HTML元素，它们能捕获受害者输入的任何数据。

Q3：如何识别和防范类似的恶意浏览器扩展？

A：用户应避免安装未经验证的扩展程序，定期审查已安装的扩展并删除不需要或可疑的扩展。要特别注意那些要求过多权限或行为异常的扩展，如频繁访问外部服务器或修改浏览器设置的扩展。