一项新发现的网络安全威胁显示，至少有 320 万用户受到伪装成合法实用工具的恶意浏览器扩展程序的影响。一组由 16 个扩展程序组成的集群 —— 涵盖从屏幕截图工具到广告拦截器以及表情符号键盘等 —— 被确认会向用户浏览器中注入恶意代码。据 GitLab 威胁情报显示，这些扩展程序不仅助长了广告欺诈和搜索引擎优化（SEO）操纵行为，还带来了严重的数据泄露风险，并且可能为进一步的网络入侵提供初始访问权限。

威胁行为者采用的攻击链是多阶段且高度复杂的，旨在在破坏浏览器安全的同时逃避检测。GitLab 的报告指出：“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性，然后注入内容，跨越浏览器安全边界，并将恶意代码隐藏在扩展程序之外。”

此次攻击似乎始于 2024 年 7 月，威胁行为者获取了合法扩展程序的访问权，而非直接对其进行破坏。报告表明，原始开发者可能在不知情的情况下将扩展程序的所有权转让给了攻击者，从而为恶意更新提供了直接途径。

到 2024 年 12 月，攻击升级为供应链攻击，涉及对开发者账户的网络钓鱼攻击，使得攻击者能够通过 Chrome 网上应用店推送恶意更新。这些更新引入了脚本，这些脚本能够利用远程存储的动态配置，窃取 HTTP 头部数据和文档对象模型（DOM）内容。

虽然这些扩展程序提供了其宣传的功能，但它们都嵌入了一个通用的恶意框架。GitLab 的调查发现了这些扩展程序中存在一致的服务工作线程功能，包括：

1.安装时进行配置检查，将扩展程序版本和唯一 ID 传输到远程服务器。

2.修改浏览器安全策略，特别是在每个会话访问的前 2000 个网站中去除内容安全策略（CSP）头部。

3.持续发送心跳信号以刷新配置数据，并与攻击者的命令与控制（C2）基础设施保持连接。

GitLab 警告称，去除 CSP 会显著削弱浏览器的安全性，使用户容易受到跨站脚本（XSS）攻击和其他基于注入的漏洞利用。

报告警告道：“这一操作完全移除了恶意扩展程序用户的内容安全策略保护。内容安全策略在防止跨站脚本攻击方面起着重要作用，而扩展程序在未经用户知情同意的情况下降低这种保护，显然违反了 Chrome 网上应用店计划政策。”

对恶意扩展程序基础设施的分析揭示了一个由专用配置服务器组成的网络，每个服务器都与特定的扩展程序相关联。例如：

这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的应用程序平台，使用一致的 x – do – app – origin 头部，这表明攻击者通过单个基于云的应用程序部署了所有配置。

此外，还发现一些与攻击相关的脚本嵌入在针对组织的网络钓鱼工具包中，这表明攻击者与参与凭证窃取活动的网络入侵行为者之间可能存在关联。

攻击者通过动态脚本注入确保了长期的持续性。rcx – cd – v3.js 有效载荷使用了一种先进的 JavaScript 混淆技术在浏览器内执行代码。该有效载荷能够对网络请求进行修改，包括：

1.通过在服务工作线程内执行请求来绕过跨源资源共享（CORS）限制。

2.修改广告拦截规则，允许广告域名，同时阻止微软的跟踪服务。

3.向受害者访问的欧洲地区亚马逊产品页面注入包含恶意内容的 iframe 和后台标签。

GitLab 的研究人员怀疑这些活动支持点击欺诈活动、SEO 操纵，甚至可能涉及敏感数据窃取。

谷歌在 2025 年 1 月接到通知，此后已从 Chrome 网上应用店中移除了所有已识别的恶意扩展程序。然而，从应用店中移除扩展程序并不会触发自动卸载。此前安装过这些扩展程序的用户必须手动从浏览器中删除它们。