当前位置：首页 > news >正文

2026年Chrome最大恶意扩展事件：108个插件窃取2万用户Google与Telegram数据的深度剖析

news 2026/4/29 9:32:12

2026年4月14日，网络安全公司Socket发布重磅报告，披露了一起持续数年的大规模Chrome恶意扩展攻击事件。该事件涉及108个恶意扩展程序，通过5个看似无关的开发者账号发布，累计感染约20,000名用户。所有恶意扩展均连接至同一C2服务器集群（cloudapi.stream），形成高度集中的指挥控制体系。攻击者主要通过滥用OAuth2授权窃取Google账号信息、每15秒轮询窃取Telegram Web会话、植入通用后门实现远程控制，以及剥离安全头部注入恶意广告等手段牟利。本文将从技术原理、攻击链分析、基础设施溯源、影响评估及防御策略等多个维度，对这一事件进行全面深度解析，并探讨2026年浏览器扩展安全面临的新挑战与未来趋势。

一、事件背景与曝光：潜伏数年的"影子网络"

2026年4月初，Socket安全研究团队在对Chrome网上商店的扩展程序进行例行安全扫描时，发现了一个异常现象：多个不同开发者发布的、功能完全不同的扩展程序，在后台都与同一个域名cloudapi.stream进行通信。这一发现立即引起了研究人员的高度警惕。

经过深入的逆向工程和流量分析，研究人员逐渐揭开了这个庞大恶意网络的面纱。他们发现，这些看似毫无关联的扩展程序，实际上都属于同一个攻击团伙。该团伙使用了5个不同的开发者身份作为掩护，分别是：Yana Project、GameGen、SideGames、Rodeo Games和InterAlt。每个开发者账号下都发布了数十个扩展程序，涵盖了社交工具、视频增强、办公辅助和休闲游戏等多个热门类别。

截至报告发布时，这108个恶意扩展程序在Chrome网上商店的累计安装量已达到约20,000次。更令人担忧的是，尽管Socket已于第一时间向谷歌提交了下架请求，但截至2026年4月29日，仍有部分恶意扩展未被完全下架，谷歌也未对已安装这些扩展的用户端进行自动禁用。这意味着，仍有大量用户处于数据泄露的风险之中。

二、攻击团伙与基础设施分析：高度集中的MaaS架构

2.1 伪装开发者身份矩阵

为了规避Chrome网上商店的检测和用户的怀疑，攻击团伙精心构建了一个复杂的开发者身份矩阵。这5个开发者账号都拥有看似真实的注册信息、独立的隐私政策页面和不同的联系邮箱。他们发布的扩展程序也都提供了基本的 advertised 功能，例如YouTube视频下载、PDF转换、Telegram多账号管理等，让用户在使用过程中难以察觉异常。

2.2 统一的C2基础设施

尽管表面上分散，但所有108个恶意扩展程序都指向同一个核心C2基础设施。该基础设施基于VPS搭建，使用Strapi作为后端框架，并通过多个子域名来实现不同的恶意功能：

api.cloudapi.stream：通用数据回传与心跳通信
tg.cloudapi.stream：专门用于Telegram会话数据的接收与处理
mines.cloudapi.stream：用于广告注入和流量劫持的指令下发

这种高度集中的C2架构表明，该攻击团伙采用了成熟的**恶意软件即服务（MaaS）**运营模式。攻击者可以通过一个统一的管理面板，对所有受感染的浏览器进行批量控制、数据收集和指令下发。这种模式大大降低了攻击的技术门槛和运营成本，使得攻击者能够以工业化的方式进行大规模网络犯罪。

2.3 归因线索

在对恶意代码的逆向分析过程中，研究人员发现了多处俄语注释和与俄罗斯网络犯罪生态系统相关的特征。此外，C2服务器的IP地址也指向了东欧地区。这些线索表明，该攻击团伙很可能来自俄罗斯或其他俄语国家。

三、恶意扩展分类与技术细节：四大攻击武器库

根据功能和攻击目标的不同，Socket研究人员将这108个恶意扩展程序分为四大类：

3.1 Google身份窃取类（54个）

这是数量最多的一类恶意扩展，占总数的一半。它们主要通过滥用Chrome浏览器的chrome.identity.getAuthTokenAPI来窃取用户的Google账号信息。

技术原理：
当用户安装这类扩展后，扩展会请求"身份"权限。一旦获得授权，扩展就可以在后台调用chrome.identity.getAuthTokenAPI，获取用户的OAuth2访问令牌。利用这个令牌，攻击者可以访问用户的Google邮箱、联系人、日历、云端硬盘等多种服务，而无需知道用户的密码，甚至可以绕过二次验证。

除了OAuth2令牌外，这些扩展还会窃取用户的邮箱地址、全名、头像和Google账号ID等个人信息。这些信息不仅可以用于身份盗窃，还可以在暗网上出售给其他犯罪分子，用于精准钓鱼和社会工程学攻击。

3.2 Telegram会话劫持类（1个）

虽然只有一个扩展程序专门针对Telegram，但它的危害程度却最高。这个名为"Telegram Multi-account"的扩展程序，伪装成一个方便用户管理多个Telegram账号的工具。

技术原理：
该扩展会向web.telegram.org域名注入一个恶意的content.js脚本。这个脚本会在页面加载的早期阶段（document_start）执行，定期（每15秒）扫描浏览器的localStorage存储，提取其中的user_auth会话令牌。

一旦获取到会话令牌，扩展会立即将其加密后发送到tg.cloudapi.stream服务器。攻击者拿到这个令牌后，就可以在自己的浏览器中导入该会话，完全接管用户的Telegram账号，查看所有聊天记录、发送消息、加入群组，甚至进行转账操作。

更可怕的是，该扩展还支持反向控制。攻击者可以通过C2服务器下发set_session_changed命令，强制清除用户本地的Telegram会话，并注入攻击者指定的会话。这意味着，攻击者不仅可以窃取用户的账号，还可以将用户的浏览器变成自己的"肉鸡"，使用用户的IP地址和身份进行各种非法活动。

3.3 通用后门类（45个）

这类扩展程序本身不直接窃取数据，而是在用户的浏览器中植入一个持久化的后门。它们会在浏览器每次启动时，自动向C2服务器发送心跳请求，等待攻击者下发指令。

主要功能：

自动打开任意URL
在所有网页中注入任意JavaScript脚本
修改浏览器的网络请求和响应
下载并执行其他恶意软件

这个通用后门为攻击者提供了极大的灵活性。他们可以根据需要，随时向受感染的浏览器推送新的恶意模块，实现更多的攻击目的，例如加密货币挖矿、勒索软件分发、DDoS攻击等。

3.4 广告注入与流量劫持类（8个）

这类扩展程序主要用于牟利。它们利用Chrome的declarativeNetRequestAPI，拦截并修改用户访问YouTube、TikTok等热门网站时的HTTP响应，剥离其中的Content-Security-Policy（CSP）、X-Frame-Options等关键安全头部。

安全头部被剥离后，扩展就可以在这些网站中自由地注入恶意广告脚本。这些广告通常是赌博、色情或虚假购物网站的链接。每当用户点击这些广告，攻击者就能获得一笔佣金。此外，攻击者还可以通过流量劫持，将用户引导到钓鱼网站，进一步窃取用户的账号和密码。

四、绕过Chrome商店检测的核心手法

Chrome网上商店虽然有一套严格的审核机制，但在这次事件中，攻击者却成功地绕过了所有检测，让108个恶意扩展顺利上架并存活了数年。他们主要使用了以下几种技术手段：

4.1 分阶段恶意代码加载

这是目前恶意扩展最常用的规避检测技术。攻击者在提交给Chrome网上商店审核的初始版本中，只包含干净的、功能正常的代码，不包含任何恶意逻辑。

一旦扩展通过审核并成功上架，攻击者就会通过C2服务器，向已安装扩展的用户端动态加载恶意模块。这种"先干净后恶意"的模式，完美地避开了Chrome网上商店的静态代码扫描和沙箱检测。

4.2 declarativeNetRequest API滥用

Manifest V3是谷歌为了提高Chrome扩展的安全性而推出的新标准，它禁用了功能强大但风险较高的webRequestAPI，取而代之的是declarativeNetRequestAPI。

然而，攻击者很快就发现了这个新API的漏洞。declarativeNetRequestAPI允许扩展程序预先声明一系列规则，用于拦截、阻止或修改网络请求。攻击者利用这一特性，编写规则来剥离网站的安全头部，从而为后续的脚本注入铺平道路。

由于这些规则是静态声明的，而不是动态执行的代码，因此很难被传统的安全检测工具识别。这也成为了Manifest V3时代恶意扩展的一个主要攻击向量。

4.3 权限最小化伪装

攻击者非常清楚，过多的权限请求会引起用户的怀疑和安全软件的警觉。因此，他们在申请权限时，尽可能地做到"最小化"。

例如，一个翻译工具本应只申请"访问当前网站数据"的权限，但攻击者会将其伪装成只需要"存储"权限。然后，通过动态加载恶意代码的方式，在运行时获取更多的权限。这种"权限漂移"的技术，使得恶意扩展在安装时看起来非常安全，从而降低了用户的警惕性。

4.4 代码混淆与反调试

所有的恶意代码都经过了高强度的混淆处理，变量名和函数名被替换成无意义的字符串，控制流被打乱，使得逆向工程变得极其困难。

此外，恶意代码中还包含了多种反调试和反分析技术，例如检测虚拟机环境、检测调试器附加、检测网络代理等。一旦发现自己处于分析环境中，恶意代码就会立即停止执行，从而保护其核心逻辑不被泄露。

五、实际影响与风险评估

5.1 个人用户风险

对于个人用户来说，这次事件的影响是全方位的：

账号被盗：Google和Telegram账号被完全接管，所有个人信息和聊天记录泄露
身份盗窃：窃取的个人信息可能被用于申请贷款、信用卡诈骗等非法活动
财产损失：攻击者可能通过Telegram进行转账，或利用Google支付进行消费
隐私泄露：浏览历史、搜索记录、地理位置等敏感信息被持续监控

5.2 企业用户风险

对于企业用户来说，风险更为严重：

内网渗透：如果员工在工作电脑上安装了这些恶意扩展，攻击者可以通过通用后门，将浏览器作为跳板，渗透进入企业内网
商业机密窃取：攻击者可以窃取员工访问的企业文档、邮件、会议记录等敏感信息
供应链攻击：攻击者可以利用受感染的开发者账号，向企业的软件产品中注入恶意代码
声誉损害：如果企业的客户数据因此泄露，将对企业的声誉造成不可挽回的损失

5.3 行业影响

这次事件也暴露了Chrome网上商店审核机制的严重缺陷，引发了整个行业对浏览器扩展安全的广泛担忧。它表明，即使是来自官方应用商店的扩展程序，也不能保证绝对安全。这将促使浏览器厂商重新审视和加强扩展审核机制，同时也会推动企业级浏览器安全解决方案的发展。

六、完整自查与应急响应指南

6.1 立即自查步骤

打开Chrome扩展管理页面
在Chrome地址栏中输入：chrome://extensions/，按回车键进入。
关闭开发者模式
确保页面右上角的"开发者模式"开关处于关闭状态。恶意扩展经常利用开发者模式来隐藏自己。
检查所有已安装扩展
仔细查看列表中的每一个扩展，特别注意以下几点：
- 开发者是否为上述5个可疑开发者之一（Yana Project、GameGen、SideGames、Rodeo Games、InterAlt）
- 扩展的权限是否与其功能相符（例如，翻译工具不应请求"访问所有网站数据"的权限）
- 是否有你不记得安装过的扩展
对照完整黑名单删除
Socket官方发布了完整的108个恶意扩展的名称和ID清单，你可以访问以下链接进行对照：
https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2
一旦发现任何匹配的扩展，立即点击"删除"按钮将其卸载。

6.2 后续安全加固

修改所有重要账号密码
特别是Google和Telegram账号的密码，并启用二次验证（2FA）。
撤销可疑的OAuth授权
访问Google账号的安全设置页面（https://myaccount.google.com/security），查看"第三方应用访问权限"部分，撤销所有你不认识的应用的授权。
重置Telegram会话
打开Telegram，进入"设置"->“隐私和安全”->“活跃会话”，终止所有你不认识的会话。然后，修改Telegram的密码，并启用两步验证。
严格控制扩展安装来源
只从官方Chrome网上商店安装扩展，拒绝任何第三方来源的扩展。即使是官方商店的扩展，也要仔细查看开发者信息和用户评论。
最小化扩展权限
对于已安装的扩展，定期检查其权限设置。对于不需要的权限，坚决予以关闭。如果一个扩展要求过多的权限，且无法关闭，应考虑卸载该扩展。
定期清理不用的扩展
养成定期清理扩展的习惯，卸载所有长期不用的扩展。扩展安装得越少，攻击面就越小。

6.3 企业级防御建议

部署企业级浏览器安全解决方案
例如Chrome Browser Cloud Management、Microsoft Edge for Business等，实现对企业内所有浏览器的统一管理和监控。
建立扩展白名单制度
禁止员工随意安装扩展，只有经过安全部门审核的扩展才能被安装。
拦截C2通信
在企业防火墙和DNS服务器中，添加对cloudapi.stream及其所有子域名的拦截规则。
加强员工安全意识培训
定期对员工进行网络安全培训，提高他们对恶意扩展和钓鱼攻击的识别能力。