贡献者:达尔·卡隆

随着 ChatGPT、Claude、Gemini 和 Grok 等生成式 AI 工具成为日常工作流程的一部分,攻击者越来越多地利用它们的流行来传播恶意浏览器扩展程序。

在这项研究中,我们发现了 一系列Chrome扩展程序协同发起了一场宣传活动,这些扩展程序伪装成人工智能助手,提供摘要撰写、聊天、写作和Gmail协助等功能。虽然这些工具表面上看起来合法,但它们隐藏着危险的架构:它们不是在本地实现核心功能,而是嵌入到外部环境中。 远程服务器控制接口 在扩展程序控制的表面内,充当特权代理,授予远程基础设施对敏感浏览器功能的访问权限。

横过 30 个不同的 Chrome 扩展程序以不同的名称和扩展 ID 发布,并产生影响 超过260,000个用户我们观察到 相同的底层代码库、权限和后端基础设施.

至关重要的是,因为每个扩展程序的大部分功能都是通过以下方式实现的: 远程托管组件它们的运行时行为由……决定 外部服务器端变更而不是通过 Chrome 网上应用商店安装时审查的代码。

活动结构和影响

该活动包含多个看似独立的 Chrome 扩展程序,每个扩展程序都有不同的名称、品牌标识和扩展程序 ID。但实际上,所有已识别的扩展程序都共享相同的内部结构、JavaScript 逻辑、权限和后端基础架构。

横过 30 个扩展程序影响超过 260,000 万用户该活动代表着 单一协调行动 而不是单独的工具。值得注意的是,本次活动中的几个扩展程序是 Chrome网上应用商店推荐从而提高其被认为的合法性和曝光度。

这种技术通常被称为 延伸喷涂, 被用于规避下架和基于声誉的防御措施。当一个扩展程序被移除后,其他扩展程序仍然可用,或者迅速以新的身份重新发布。尽管这些扩展程序模仿不同的AI助手(Claude、ChatGPT、Gemini、Grok和通用的“AI Gmail”工具),但它们都充当着不同的角色。 进入同一后端控制系统的入口点.

技术概述

在本报告中,我们将分析 AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp) 扩展。

图 1. 特色助手“克劳德”

远程 Iframe 作为核心 UI

该扩展程序渲染了一个 全屏 iframe 指向远程域(claude.tapnetic.pro)。该 iframe 会覆盖当前网页,并在视觉上显示为扩展程序的界面。


图 2. IFrame 注入

因为 iframe 加载的是远程内容:

  • 操作员可以随时更改用户界面和逻辑。
  • 无需更新 Chrome 网上应用店
  • 新功能可以悄无声息地引入。

页面内容提取

当 iframe 发出指令时,该扩展程序会查询当前活动标签页,并调用内容脚本,利用 Mozilla 的 Readability 库提取可读的文章内容。提取的数据包括标题、正文内容、摘要和网站元数据。

图 3. 页面内容提取

然后,该信息被发送回远程 iframe,这意味着第三方服务器可以接收用户正在查看的任何页面的结构化表示,包括敏感的内部页面或经过身份验证的页面。

语音识别能力

该扩展程序还支持使用 Web Speech API 的消息触发式语音识别。当 iframe 发出请求时,语音识别就会启动,并将生成的文本转录返回到远程页面。

虽然浏览器权限在某些情况下可以限制滥用行为,但这种功能的存在表明远程控制器被授予了广泛的访问权限。

遥测采集

该扩展包包含明确的跟踪像素脚本,可将安装和卸载事件发送到第三方分析端点。

这些机制通常与以下情况相关:

  • 归因跟踪
  • 盈利渠道
  • 保留率分析

Gmail 集成集群

该推广活动的一个子集,包含 15 个扩展程序,专门针对 Gmail。尽管这些扩展程序以不同的名称和品牌发布,并被宣传提供不同的功能(并非总是与电子邮件辅助相关),但它们都共享相同的 Gmail 集成代码库。

每个都包含一个 专用于 Gmail 的内容脚本文档开始 on mail.google.com与通用 内容脚本。此模块将扩展程序控制的 UI 元素注入到 Gmail 中,并使用以下方式保持持久性: MutationObserver 并定期进行轮询。

Gmail 集成 直接从DOM读取可见的电子邮件内容通过反复提取消息文本 .textContent 从 Gmail 的对话视图中。 


图 4. Gmail 内容阅读

这包括电子邮件线程内容,以及根据状态,与草稿或撰写相关的文本。

当调用 Gmail 相关功能(例如 AI 辅助回复或摘要)时,提取的电子邮件内容会传递给扩展程序的逻辑并传输到服务器。 由扩展运营商控制的第三方后端基础设施因此,电子邮件正文和相关上下文数据可能会被发送到设备之外,超出 Gmail 的安全边界,到达远程服务器。

C&C - 基础设施和威胁归因

tapnetic[.]pro C&C 域特征

所有分析过的扩展程序都与以下基础设施通信: tapnetic[.]pro 域名。虽然该域名托管着一个公开可访问的网站,乍一看似乎合法,但我们的分析发现:

  • 该网站呈现的是通用的营销风格内容。
  • 所有功能、下载和用户操作均无法正常运行。
  • 未提供明确的产品、服务或所有权信息。

分析时,该网站的主要功能似乎是: 覆盖基础设施赋予域名合法性,而实际活动则通过扩展控制的子域名进行。

图 5. Tapnetic.pro

子域分割

每个扩展程序都与一个 专用子域名 of tapnetic[.]pro通常以模仿的 AI 产品为主题(例如 Claude、ChatGPT、Gemini)。

图 6. Tapnetic.pro 子域名 – VirusTotal.com

这种设计为操作人员提供了几个优点:

  • 扩展之间的逻辑分离
  • 如果单个子域被屏蔽,则爆炸半径会减小。
  • 更方便地轮换或更换各个扩展后端

尽管子域名不同,但整个活动中的请求结构、参数和服务器行为都保持一致,这表明使用的是单一的后端系统。

扩展生命周期滥用和规避重新上传

我们还观察到 主动规避 Chrome 网上应用店的强制执行.

竞选活动中的一项扩展措施, fppbiomdkfbhgjjdmojlogeceejinadg已从 Chrome 网上应用店下架 2025 年 2 月 6 日.

不到两周后, 相同的扩展 以新的ID和名称发布:

  • 新扩展 ID: gghdfkafnhfpaooioolhncejnlgglhkhe
  • 上传日期: 2025 年 2 月 20 日

重新上传的扩展程序是 完整版 被移除的那个:

  • 相同的 JavaScript 逻辑
  • 相同权限
  • 相同的基于 iframe 的架构
  • 相同的 tapnetic.pro 基础架构

这种行为与 扩展喷洒策略这样一来,运营商就可以在下架后快速恢复分发,同时保持相同的后端控制。

结语

攻击者利用用户对 Claude、ChatGPT、Gemini 和 Grok 等知名 AI 名称的信任,分发从根本上破坏浏览器安全模型的扩展程序。

结合使用全屏远程 iframe 和特权 API 桥接技术,这些扩展程序可以转化为 通用接入代理这些工具能够收集数据、监控用户行为,并随着时间的推移悄然演变。虽然它们被包装成生产力工具,但其架构与人们对隐私和透明度的合理预期并不相符。

随着生成式人工智能的日益普及,防御者应该预料到类似的攻击活动将会激增。那些将核心功能委托给远程、可变基础设施的扩展程序不应被视为便捷工具,而应被视为…… 潜在的监控平台.

妥协指标(IOC)

扩展

ID 名称 安装
nlhpidbjmmffhoogcennoiopekbiglbp

AI助理

 50,000
gcfianbpjcfkafpiadmheejkokcmdkjl

骆驼

 147
fppbiomdkfbhgjjdmojlogeceejinadg

双子座人工智能侧边栏

 80,000
djhjckkfgancelbmgcamjimgphaphjdl

AI侧边栏

 9,000
llojfncgbabajmdglnkbhmiebiinohek

ChatGPT 侧边栏

 10,000
gghdfkafnhfpaooioolhncejnlgglhkhe

AI侧边栏

 50,000
cgmmcoandmabammnhfnjcakdeejbfimn

格罗克

 261
phiphcloddhmndjbdedgfbglhpkjcffh

询问聊天 Gpt

 396
pgfibniplgcnccdnkhblpmmlfodijppg

聊天GBT

 1,000
nkgbfengofophpmonladgaldioelckbe

聊天机器人 GPT

 426
gcdfailafdfjbailcdcbjmeginhncjkb

Grok聊天机器人

 225
ebmmjmakencgmgoijdfnbailknaaiffh

与双子座聊天

 760
baonbjckakcpgliaafcodddkoednpjgf

XAI

 138
fdlagfnfaheppaigholhoojabfaapnhb

谷歌双子座

 7,000
gnaekhndaddbimfllbgmecjijbbfpabc

询问双子座

 1,000
hgnjolbjpjmhepcbjgeeallnamkjnfgi AI字母生成器 129
lodlcpnbppgipaimgbjgniokjcnpiiad AI消息生成器 24
cmpmhhjahlioglkleiofbjodhhiejhei AI翻译器 194
bilfflcophfehljhpnklmcelkoiffapb 人工智能翻译 91
cicjlpmjmimeoempffghfglndokjihhn 人工智能求职信生成器 27
ckneindgfbjnbbiggcmnjeofelhflhaj AI图像生成器聊天GPT 249
dbclhjpifdfkofnmjfpheiondafpkoed AI壁纸生成器 289
ecikmpoikkcelnakpgaeplcjoickgacj AI图片生成器 813
kepibgehhljlecgaeihhnmibnmikbnga DeepSeek 下载 275
ckicoadchmmndbakbokhapncehanaeni 人工智能电子邮件撰写器 64
fnjinbdmidgjkpmlihcginjipjaoapol 邮件生成器 AI 881
gohgeedemmaohocbaccllpkabadoogpl 深度搜索聊天 1,000
flnecpdpbhdblkpnegekobahlijbmfok ChatGPT 图片生成器 251
acaeafediijmccnjlokgcdiojiljfpbe ChatGPT 翻译 30,000
kblengdlefjpjkekanpoidgoghdngdgl 人工智能通用技术 20,000
idhknpoceajhnjokpnbicildeoligdgh ChatGPT 翻译 1,000
fpmkabpaklbhbhegegapfkenkmpipick Gmail 聊天 GPT 1,000

域名

Tapnetic[.]pro

onlineapp[.]pro

电子邮件

策略、技术和程序 (TTP)

战术 技术
资源开发 LX2.003(T1583) ——获取基础设施
初始访问 LX3.004 (T1189) – 驾车妥协
初始访问 LX3.003 (T1199) – 信任关系
执行 LX4.003 – 脚本执行
防御规避 LX7.011 (T1036) 化装舞会
凭证访问 LX8.007(T1557) 中间人
购物 LX10.012 网络通信数据收集
购物 LX10.005 收集用户信息
指挥和控制 LX11.004 – 建立网络连接
指挥和控制 LX11.005 – 基于Web服务的C2
渗出 LX12.001 数据泄露

建议使用

安全专业人员、企业防御人员和浏览器开发人员应采取以下措施:

  • 对受管环境中的扩展程序进行审计,特别是那些安装在策略控制之外的扩展程序。
  • 部署基于行为的扩展监控技术,以检测未经授权的网络活动或可疑的 DOM 操作。
  • 加强运行时监控和执行,而不仅仅是安装时审查,以检测由后端基础架构驱动的安装后行为变化。