两款Chrome扩展程序被发现秘密窃取超过170个网站的凭据

网络安全研究人员发现了两个名称相同且由同一开发者发布的恶意谷歌 Chrome 扩展程序，它们具备拦截流量和捕获用户凭据的功能。

这两款扩展程序被宣传为面向开发人员和外贸人员的“多地点网络速度测试插件”。截至撰写本文时，这两款浏览器插件均可下载。扩展程序的详细信息如下：

• 幻影穿梭机（ID：fbfldogmkadejddihifklefknmikncaj） - 2,000 位用户（发布于 2017 年 11 月 26 日）
• 幻影穿梭机（ID：ocpcmfmiidofonkbodpdhgddhlcmcofd） - 180 位用户（发布于 2023 年 4 月 27 日）

Socket 安全研究员 Kush Pandya 表示：“用户支付 9.9 元至 95.9 元人民币（1.40 美元至 13.50 美元）的订阅费，以为自己购买的是合法的 VPN 服务，但这两个版本执行的恶意操作完全相同。”

“在订阅的伪装之下，这些扩展程序通过注入身份验证凭证来执行完整的流量拦截，充当中间人代理，并不断将用户数据泄露到威胁行为者的 C2（命令与控制）服务器。”

一旦毫无戒心的用户付款，他们就会获得 VIP 身份，并且扩展程序会自动启用“智能”代理模式，将来自 170 多个目标域的流量通过 C2 基础设施进行路由。

这些扩展程序确实如宣传的那样运作，旨在强化产品功能完好的假象。它们会对代理服务器进行实际的延迟测试并显示连接状态，同时却对用户隐瞒其主要目的——拦截网络流量并窃取凭据。

这涉及对两个 JavaScript 库（即 jquery-1.12.2.min.js 和 scripts.js）进行恶意修改，这两个库与扩展程序捆绑在一起。该代码旨在通过在 chrome.webRequest.onAuthRequired 上注册监听器，自动将硬编码的代理凭据（topfany / 963852wei）注入到所有网站的每个 HTTP 身份验证质询中。

Pandya解释说：“当任何网站或服务请求HTTP身份验证（基本身份验证、摘要式身份验证或代理身份验证）时，此监听器会在浏览器显示凭据提示之前触发。它会立即响应硬编码的代理凭据，对用户完全透明。异步阻塞模式确保同步凭据注入，防止任何用户交互。”

用户通过代理服务器身份验证后，该扩展程序会使用代理自动配置 ( PAC ) 脚本配置 Chrome 的代理设置，以实现三种模式 -

• 关闭，这将禁用代理功能。
• 始终如此，它会将所有网络流量路由到代理服务器。
• smarty 会将一个包含 170 多个高价值域名的硬编码列表通过代理进行路由。

这份域名列表涵盖了开发者平台（GitHub、Stack Overflow、Docker）、云服务（亚马逊网络服务、Digital Ocean、微软Azure）、企业解决方案（思科、IBM、VMware）、社交媒体（Facebook、Instagram、Twitter）以及成人内容网站。Socket推测，将色情网站列入其中很可能是为了敲诈勒索受害者。

这种行为的最终结果是，用户网络流量会通过攻击者控制的代理服务器进行路由，同时该扩展程序会与位于 phantomshuttle[.]space 的 C2 服务器保持 60 秒的心跳通信，该域名始终处于运行状态。这还使攻击者能够进行“中间人攻击”（MitM），从而捕获流量、篡改响应并注入任意有效载荷。

更重要的是，心跳消息每五分钟通过 HTTP GET 请求将 VIP 用户的电子邮件、明文密码和版本号发送到外部服务器，以持续窃取凭证和监控会话。

Socket 表示：“心跳泄露（凭证和元数据）加上代理中间人攻击（实时流量捕获）相结合，提供了全面的数据窃取能力，并且在扩展程序保持活动状态时持续运行。”

换句话说，该扩展程序会在VIP模式激活期间，从访问目标域名的用户那里窃取密码、信用卡号、身份验证cookie、浏览历史记录、表单数据、API密钥和访问令牌。更糟糕的是，开发者机密信息的泄露可能会为供应链攻击铺平道路。

目前尚不清楚是谁在运营这个已有八年历史的域名，但域名扩展描述中使用中文、集成支付宝/微信支付进行支付，以及使用阿里云托管 C2 域名，都表明该域名运营地点位于中国。

Socket表示：“订阅模式既能留住用户又能带来收入，而集成支付功能的专业基础设施则营造出一种合法的假象。用户以为自己购买的是VPN服务，却在不知不觉中让用户的流量完全被控制。”

研究结果凸显了基于浏览器的扩展程序正成为企业面临的一大风险层。已安装此类扩展程序的用户应尽快将其移除。对于安全团队而言，部署扩展程序白名单、监控结合了订阅支付系统和代理权限的扩展程序，以及实施网络监控以检测可疑的代理身份验证尝试至关重要。