十款热门Chrome插件实为间谍软件：170万用户浏览行为或已被追踪

这些恶意扩展程序多数伪装成实用工具，如颜色选择器、VPN、音量增强器和表情符号键盘等，功能看似正常，外观设计与正规插件无异。不仅如此，这些扩展还通过Google的“已验证”标记、数百条正面评价和高频推荐位置来增强可信度，进一步误导用户。

目前部分插件已从Chrome Web Store下架，但仍有多个仍在架上。以下为已确认带有恶意代码的插件列表，用户应立即在浏览器中删除：

• Color Picker, Eyedropper ：Geco 颜色吸管

• Emoji keyboard online：黏贴复制表情符号 

• Free Weather Forecast：免费天气预报

• Video Speed Controller：视频播放管理

• Unlock Discord ：解锁Discord的VPN代理

• Dark Theme：Chrome暗黑主题

• Volume Max：调音量软件

• Unblock TikTok：解锁TikTok的代理

• Unlock YouTube VPN：解锁油管视频的VPN

• Weather：天气预报

值得注意的是，“Volume Max—Ultimate Sound Booster”此前已被LayerX安全团队点名，虽然当时未能确认具体恶意行为，但如今被证实具备用户追踪能力。

Koi Security指出，这些恶意行为并非通过前端交互实现，而是隐藏在Chrome扩展的“后台服务工作器”（Service Worker）中。具体来说，扩展在用户每次访问新网页时会触发监听器，记录URL并将其连同唯一用户识别码上传至远程服务器。该服务器可进一步下发重定向命令，诱导用户跳转至潜在的恶意站点，或被用于钓鱼攻击。

目前尚未观察到明确的恶意跳转行为，但此机制本身具有严重的安全隐患。更值得警惕的是，这些代码并非在最初版本中就存在，而是通过Chrome的自动更新系统在后期悄然植入，用户无须操作即可被动接收更新版本。

这意味着一些扩展可能在长期“潜伏”为良性工具后被黑客接管或开发者出售，从而演变为隐秘的攻击媒介。

Koi Security还指出，类似的恶意插件也出现在微软Edge浏览器的官方扩展商店中，累计安装量达到60万次。加上Chrome平台，共计18个扩展已感染超过230万用户，构成近年来最大规模的浏览器劫持行动之一。

研究人员建议所有用户立即采取以下措施：

• 删除上述所有可疑扩展程序；

• 清除浏览器数据，特别是Cookies和本地存储；

• 扫描系统是否存在恶意软件残留；

• 检查在线账户登录历史和活动记录，防范身份盗用。

目前Google尚未对事件发布正式声明，Koi Security也尝试联系多个扩展开发者，但尚未收到回应。

参考链接：

https://blog.koi.security/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware-fb4ed4f40ff5