18个恶意扩展程序感染 230 万 Chrome、Edge 用户

一款下载量超过 10 万次的 Chrome 和 Edge 扩展程序，会显示 Google 的认证标志，其功能与其宣传的一样：为用户提供颜色选择器。然而，据 Koi Security 研究人员称，这个扩展程序会劫持浏览器会话，追踪网站活动，并在受害者的浏览器上植入后门。

颜色选择器允许用户从网站中选择任意颜色并将其复制到剪贴板以供日后使用，这对于设计应用程序、网站等非常有用。

Geco 扩展程序在 Chrome 网上应用店中获得了 800 多条评论，评分 4.2 星（满分 5 星），并被评为“推荐”应用。微软的 Edge 附加组件也获得超过 1000 名用户的一致好评，看起来是一款非常安全的扩展程序。

Koi Security 分析师 Idan Dardikman 在周二的博客文章中表示： “这不是一个周末就能搞定的明显骗局扩展程序，而是一个精心设计的特洛伊木马。”

Koi Security 表示，Geco 颜色选择器只是“冰山一角”，是名为 RedDirection 的更大规模浏览器劫持活动的一部分。该活动包含 18 个恶意扩展程序，涵盖 Chrome 和 Edge 商店，它们都具有相同的监听功能。

Dardikman 写道：“这 18 个扩展程序共感染了两种浏览器的 230 多万用户，是我们记录到的最大规模的浏览器劫持行动之一。”

这些扩展程序提供各种功能：表情符号键盘、天气预报、视频速度控制器、Discord 和 TikTok 的 VPN 代理、暗黑主题、音量增强器以及 YouTube 解锁器（如果您的雇主、学校或政府屏蔽了 YouTube 这个热门视频网站，这些扩展程序会非常有用）。

研究人员表示，这些浏览器扩展程序除了提供合法功能外，还会秘密监视用户的网页浏览活动，捕获 URL，将这些信息连同受害者的唯一跟踪 ID 一起发送到攻击者控制的远程服务器，甚至在接到指令后重定向用户的浏览器。

让这件事变得更加隐蔽的——这可能解释了 Google 安全认证徽章——是这些扩展程序从一开始并没有被恶意软件所感染。

据Dardikman 称，这些代码最初是干净的，有时甚至在恶意软件通过版本更新引入之前，这种状态会持续数年。

“由于谷歌和微软处理浏览器扩展更新的方式，这些恶意版本会悄无声息地自动安装到两个平台上超过 230 万用户身上，其中大多数人从未点击过任何按钮。”他说道。

如果您安装了这些扩展程序，请立即卸载，清除浏览器数据，并密切关注您的帐户是否有任何可疑活动。

该博客警告称：“没有网络钓鱼，没有社会工程学。只是一些悄无声息的受信任扩展程序，将生产力工具变成了监控恶意软件。”

技术报告：

https://blog.koi.security/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware-fb4ed4f40ff5

新闻链接：

https://www.theregister.com/2025/07/08/browser_hijacking_campaign/