兩款熱門Google Chrome外掛轉為惡意程式 數千用戶陷個資外洩風險
記者鄧天心/綜合報導
網路安全研究機構近日發布警訊,指出兩款原具備良好評價的Google Chrome瀏覽器擴充功能在經營權轉讓後「由正轉邪」,駭客藉由惡意更新,在受害者瀏覽器中植入代碼以攔截敏感數據,甚至能跨越瀏覽器層級,直接對電腦發送指令。
根據Annex Security與monxresearch-sec的最新調查,受影響的擴充功能分別為擁有7,000名用戶的「QuickLens – Search Screen with Google Lens」以及擁有800名用戶的「ShotBird」。
這兩款程式原由開發者Akshay Anu S開發,並曾獲得Google官方「精選」(Featured)標章,但在近期轉手給新開發者後,隨即被植入具威脅性的武器化功能。
更多科技工作請上科技專區:https://techplus.1111.com.tw/
隱形代碼規避偵測 繞過安全防禦
資安研究員約翰·塔克納(John Tuckner)指出,QuickLens在今年2月的更新中,雖保留了原始功能以掩人耳目,卻暗中加入移除安全性標頭(如X-Frame-Options)的能力。此舉讓惡意腳本能繞過「內容安全性政策」(CSP),向外部網域發出任意請求。
該擴充功能的攻擊手法相當隱蔽,其惡意代碼並未寫在原始源文件中,而是每五分鐘與外部伺服器連線以獲取JavaScript。代碼隨後被儲存於瀏覽器本地空間,並透過建立一個極微小的1×1像素GIF圖片,利用其載入屬性(onload)觸發執行,藉此規避傳統的靜態代碼掃描偵測。
偽造更新誘導下載 竊取信用卡及個資
另一款擴充功能「ShotBird」則採取更具侵略性的手段。研究顯示,該程式會彈出偽造的「Chrome瀏覽器更新」提示,引誘使用者開啟Windows執行視窗(Run dialog)並執行PowerShell指令。一旦受害者中計,系統將自動下載名為「googleupdate.exe」的檔案,進而監控網頁中的輸入框與下拉選單,竊取帳號密碼、信用卡資訊及政府身分識別等敏感資料。
擴充功能供應鏈風險 企業環境成重災區
微軟(Microsoft)與Palo Alto Networks Unit 42也同步發出預警,強調「擴充功能供應鏈攻擊」正成為新興威脅。許多看似無害的AI工具、VPN或截圖程式,在累積用戶信任後便轉手給駭客組織,隨即推送惡意更新,將合法的生產力工具轉化為長期潛伏的數據收集機制。
近期被點名的問題擴充功能還包括:
-
lmToken Chromophore:偽裝成顏色辨識工具,實則導向釣魚網站竊取加密貨幣助記詞。
-
Chrome MCP Server:假借AI自動化之名,行遠端訪問木馬(RAT)之實。
-
OmniBar AI Chat and Search:透過強制更改首頁及搜尋引擎,進行大規模瀏覽器劫持。
資安專家警告,即使是曾獲官方標章推薦的程式,也可能在轉手後淪為駭客工具。建議使用者應立即檢查瀏覽器清單,移除上述可疑擴充功能,並避免從非官方管道下載任何程式。若瀏覽器要求執行系統指令或下載執行檔,應保持高度警覺,以防資安風險。
延伸閱讀:
NotebookLM進化了!推AI自動摘要 省去你開檔案的時間
資料來源:the hacker news
