执行摘要
我们的调查揭露了一起协同攻击活动,该活动将多个Chrome扩展程序——最初看似无害且用途不相关——改造成了远程控制的内容注入工具。尽管这些扩展程序表面上无害,且未请求任何特殊权限,但每个扩展程序都被修改,使其能够定期从攻击者控制的域名下载配置文件。这些动态规则使得这些扩展程序无需更新Chrome网上应用商店即可覆盖网页内容、注入外部HTML代码并操纵用户访问的网站。
基础设施分析显示,这些扩展程序的恶意功能已被引入。 Chrome网上应用商店所有权转移后立即生效这是在多个案例中观察到的一种模式。与此同时,用于传递远程指令的命令与控制(C2)域也已注册。 在被篡改的更新发布前不久这表明攻击者的基础设施是预谋准备的。相同的注入逻辑、共享的架构模式、同步的域名注册以及收购后的代码更改表明,这些扩展程序已被攻破并投入使用,作为攻击的一部分。 协调一致、基础设施支持的运动 而不是孤立事件。
技术分析
虽然每个扩展程序都呈现出不同的良性功能,但其内部代码却实现了相同的高风险行为。在所有分析的扩展程序中,都存在一种反复出现的隐藏机制,可以远程动态地操纵网页。接下来,我们将重点讨论所有已发现扩展程序中普遍存在的恶意行为:
- 远程配置获取
每个扩展程序每隔 5 分钟就会联系外部服务器,下载新的配置文件(config.php 或 theme.php)。
该文件包含控制以下内容的指令:
- 应该瞄准哪些网站
- 要修改哪些 DOM 元素
- 要注入什么远程有效载荷?
图 1. 匹配“location.href”的正则表达式
由于这些配置来自攻击者控制的域,因此无需通过 Chrome 网上应用店进行任何更新,即可立即更改扩展程序的行为。
这种设计有效地创造了 命令与控制通道 在浏览器内部。
- 动态 DOM 注入
下载的配置定义了如下规则:
- 模式 – 用于匹配目标网站的正则表达式
- 选择器 – 要覆盖的 DOM 元素
- 网址 – 提供注入的 HTML/文本的远程端点
- 属性 – 要替换的 DOM 属性(例如,innerHTML、src、href)
图 2. DOM 对象替换
这些扩展程序利用这些规则获取攻击者控制的内容,并将其直接注入到网页中:
这使得远程服务器能够:
- 替换登录表单
- 插入钓鱼叠加层
- 修改财务或购物页面
- 注入广告或追踪信标
- 修改社交媒体内容
全部内容 没有警报、权限或用户可见性.
- 通过变异观察者进行持续操控
为确保网站无法撤销修改,该扩展程序使用了 MutationObserver。
每当页面更新时,它都会不断重新应用注入的内容,从而确保持续且隐蔽的操控。
这些扩展程序共享一个通用架构,旨在允许远程服务器 重写用户访问的任何网页。这种行为会悄无声息地反复发生。这构成了一个高度灵活且危险的浏览器操控框架,伪装成无害的实用工具。
基础设施分析
我们的调查揭示了一个协调的扩展所有权转移生态系统、快速配置的命令与控制 (C2) 域以及同步的恶意更新,这些都强烈表明,这些扩展程序是作为有组织的攻击活动的一部分而被入侵和运行的,而不是孤立事件。
- 扩展所有权转移和收购后武器化
来自 Chrome 网上应用商店的历史元数据显示出一致的模式:这些扩展程序在所有权变更后不久之前一直运行良好。我们在多个样本中观察到:
- 在恶意更新之前不久,对列出的扩展程序所有者或开发者进行了修改。
- 早期版本中没有远程配置逻辑的证据。
- 突然插入:
- 定期检索远程配置文件
- DOM 重写的规则集
- Beacon 调用 install.php
- 支持代码,可实现持久内容操控
用户评论证实了这一时间线,并指出在这些更新后立即出现了意想不到的行为。
这与推广滥用活动中一种已知的策略相符: 威胁行为者购买高安装量的扩展程序,并用模块化恶意框架对其进行改造。
- C2域名注册与恶意更新之间的时间耦合
对扩展程序所用基础设施的 WHOIS 记录进行分析,揭示了显著的时间相关性。
主要观察:
- 域名已注册 几天到几周 在恶意扩展版本发布之前。
- 恶意更新程序上线后几乎立即开始查询这些域名。
- 这些域名具有相似的命名规则和基础设施特征,表明采用了集中式配置。
这种模式与敌方在激活被入侵的扩展程序之前立即准备作战基础设施的做法相一致。
- 干净版本与恶意版本
早期版本和后期版本之间的代码对比突显了一个明显的转折点:
妥协前(良性)版本
- 仅包含广告宣传的功能(例如,图像编辑、视频检测、DOI提取)。
- 没有外部配置资源。
- 不支持动态内容注入。
- 没有持续的监测机制(例如,MutationObservers)。
- 没有调试器或指纹识别 API。
入侵后(恶意)版本
- 添加了远程配置检索循环(通常每 5 分钟轮询一次)。
- 引入了使用正则表达式匹配规则的指令驱动型 DOM 操作。
- 内置可重用的注入引擎,能够覆盖任意页面内容。
- 集成安装信标,用于将遥测数据传回攻击者控制的域。
图 3. kbaofbaehfbehifbkhplkifihabcicoi 前后对比
这一差异有力地支持了获取武器后蓄意将其武器化的假设。
- 共享工具包或统一威胁行为者的指标
交叉延伸比较发现,二者具有高度的结构相似性:
- 相同的轮询间隔(300 秒)。
- 解析远程配置规则的逻辑几乎完全相同。
- 对 pathMatch、selector、applyMethod、resourceLink 等字段采用一致的命名方式。
- 重复使用的远程端点(config.php、theme.php、install.php)。
- 类似的错误抑制模式和静默失败的 fetch() 调用。
- 匹配注入内容替换 DOM 属性的方式模式。
| 扩展 ID | 所有权变更 | 域名注册 | 恶意版本推送 |
| kbaofbaehfbehifbkhplkifihabcicoi | 2025-07-19 | 2025-07-27 | 2025-07-30 |
| ijhbioflmfpgfmgapjnojopobfncdeif | 2025-07-23 | 2025-08-20 | 2025-08-27 |
| 尼姆恩卡因乔阿普姆赫布科多芬吉戈布 | 2025-07-19 | 2025-08-20 | 2025-08-22 |
| jleonlfcaijhkgejhhjfjinedgficgaj | 2025-04-14 | 2025-08-22 | 2025-08-26 |
| pgfjnclkpdmocilijgalomiiaokgjejdm | 2025-07-19 | 2025-08-13 | 2025-08-16 |
| eekibodjacokkihmicbjgdpdfhkjemlf | 2025-09-21 | 2025-09-23 | 2025-09-25 |
| ggjlkinaanncojaippgbndimlhcdlohf | 2024-09-25 | 2024-09-30 | 2024-10-11 |
| ncbknoohfjmcfneopnfkapmkblaenokb | 2024-12-13 | 2025-02-03 | 2025-02-07 |
多个独立品牌的扩展程序出现趋同现象,表明恶意框架可能出自同一开发者之手,或者是一家提供一站式扩展程序武器化工具包的犯罪服务机构。
基础设施、时间线和代码库关系共同表明这是一次协调行动,而不是机会主义或无关的滥用行为。
2025年12月竞选活动
LayerX Security持续监控浏览器扩展程序从原本良性的演变为恶意程序的案例。去年12月,我们发现同一作者发布的多个扩展程序也发生了转变,展现出一种新的攻击活动,即把良性扩展程序转化为恶意广告软件。
这些扩展程序最初看起来无害,只实现了简单的功能。然而,除了这些宣称的功能之外,代码还会从外部服务器获取远程配置。该配置包含一个域名列表,扩展程序会向这些域名注入欺骗性通知,每个通知都嵌入了一个 URL,用于推进感染链。
图 4. 检索到的配置文件。
当用户访问这些域名之一时,会立即显示恶意通知,提示用户进行“人机验证”。
图 5. 虚假通知。
验证按钮会将受害者重定向到一系列仅显示静态图像的“非机器人”页面,同时,后台脚本会注册一个服务工作线程,采集用户的设备、浏览器和操作系统信息,并将这些信息传输到 pushtorm.net。之后,系统会提示用户授予通知权限。
图 6. 权限请求。
一旦获得授权,该扩展程序就会通过相同的重定向和通知滥用机制反复投放侵入性广告,实际上使用户遭受持续且咄咄逼人的广告软件行为的侵害。
结语
我们的分析表明,这些扩展程序并非孤立的恶意行为,而是协调且不断演进的分发框架的组成部分。尽管每个扩展程序都呈现出不同的良性功能,但它们共享一个共同的远程控制注入引擎、相同的配置逻辑以及一致的5分钟轮询周期。
基础设施分析进一步表明,大多数扩展都是 仅在所有权转移后才被武器化攻击者控制的命令与控制域是 在恶意更新之前不久注册这种紧密的耦合强烈表明这是一项有预谋、有组织的活动,旨在获取合法扩展程序,并使用模块化内容注入工具包对其进行改造。
这些发现共同揭示了一个清晰的模式:一个可扩展的、集中管理的系统,旨在操纵网页、部署任意有效载荷,并在无需更新应用商店的情况下快速演进。这凸显了当前扩展审核模型的一个重大盲点,并强调了加强对远程配置行为和收购后扩展滥用行为检测的必要性。
国际石油公司
分机号 – 当前在线分机
| ID | 姓名 | 安装 |
| kbaofbaehfbehifbkhplkifihabcicoi | PhotoExpress 编辑器 | 5,000 |
| ijhbioflmfpgfmgapjnojopobfncdeif | Canva Chrome 扩展程序 | 设计、艺术和人工智能编辑器 | 1,000 |
| 尼姆恩卡因乔阿普姆赫布科多芬吉戈布 | 互联网档案保存器 | 2,000 |
| jleonlfcaijhkgejhhjfjinedgficgaj | CapCut 视频编辑器和下载器 | 6,000 |
| pgfjnclkpdmocilijgalomiiaokgjejdm | 适用于 Chrome 的 SnapConnect | 2,000 |
| jnkmepoonohhfijlbajdphhinhkoefjn | HP打印服务插件
|
1,000 |
| gmmhcbmmnclgmmjimiiefhiagmpamdlb | 编辑任何内容 – 提升任何页面 | 780 |
| ooobfpifjkgeopllkalfgkbiefhooggl | Blooket Hacker Pro
|
2,000 |
| cehifnkfcddaeppdajpfldbpommggaca | Kahoot黑客
|
1,000 |
| Eggegjdejilddmnlglakcaigefefcdaf | 互动小说
|
350 |
扩展程序 ID – 已从应用商店扩展程序中移除
| ID | 姓名 | 安装 |
| eekibodjacokkihmicbjgdpdfhkjemlf | 互动小说 | 3,000 |
| ggjlkinaanncojaippgbndimlhcdlohf | PaperPanda — 获取数百万篇研究论文 | 100,000 |
| ncbknoohfjmcfneopnfkapmkblaenokb | Vytal – 欺骗时区、地理位置、语言环境和安全 | 40,000 |
域名和支持邮箱
- themeassets.site
- pixmod.site
- brightlogicassets.com
- safecloudassets.com
- lightwaveassets.com
- cascadepointassets.com
- getxmlppa.com
- syncxmlvyt.com
- interactive-fics.vercel.app
- blookethackerpro.vercel.app
- editanything3xmetoda.vercel.app
- hpext-9udj.vercel.app
- kahoot-ten-gamma.vercel.app
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
技术小组
| 战术 | 技术 |
| 资源开发 | LX2.001(T1588) – 获取能力 |
| 凭证访问 | LX8.008 网络篡改 |
| 探索更多 | LX9.003 (T1082) 系统信息发现 |
| 指挥和控制 | LX11.004 – 建立网络连接 |
| 冲击 | LX13.004.1 (T1565) 数据操纵:内容操纵 |
补救与缓解
对于用户
-
移除加载远程配置文件的扩展程序——任何从未知服务器获取 config.php 或 theme.php 的程序都存在风险。
-
避免使用没有明确理由就修改网页内容的扩展程序——DOM 重写 + 远程内容 = 高风险。
-
尽量选择信誉良好、知名度高的开发者——避免选择“新”、“不知名”或评价较低的扩展程序。
-
使用 Chrome 内置的扩展程序工具检查扩展程序活动——查找异常的网络连接。
面向安全团队
-
检测常见工件 – 标记以下扩展:
- 获取远程注入配置
- 使用带时间戳的绕过缓存查询
- 使用选择器和模式定义注入规则
- 积极使用变异观察器
- 不必要地使用 Chrome 调试器 API
-
执行行为沙箱测试——监控:
- DOM 变化
- 出站网络呼叫
- 修改后的元素
远程配置拉取的时机
-
阻止已知的恶意资产域名 – 监控与这些扩展名系列相关的域名。
