浏览器扩展供应链危机:RedDirection恶意活动揭示市场审核漏洞

安全研究人员发现18个通过Chrome和Edge官方商店传播的恶意扩展程序,感染超过230万用户。这些扩展利用验证徽章和高评分伪装合法,通过更新机制植入监控代码,暴露浏览器平台审核机制的重大缺陷。

已验证、被推荐且恶意:RedDirection活动揭示浏览器应用市场失败

活动概述

一场广泛的浏览器劫持活动通过Google Chrome和 Microsoft Edge上的18个恶意扩展程序感染了超过230万用户。Koi Security研究人员将该行动命名为"RedDirection",其利用验证徽章、高评分和推荐位置等信任指标,在两个浏览器生态系统中保持未被发现的状态。

Koi研究人员将此行动描述为他们迄今为止见过的基于浏览器的最大恶意软件活动之一。

恶意扩展详情

在已识别的扩展中,“Color Picker, Eyedropper — Geco colorpick"尤为突出,拥有超过10万次安装、800多条正面评价,并在Chrome Web商店中获得验证状态。尽管具有合法的外观和功能用户界面,该扩展被发现捕获浏览活动并将数据发送到远程服务器。

其他扩展提供各种功能——从表情符号键盘和天气预报到VPN代理、暗黑主题和音量增强器——但所有扩展都包含隐藏在其代码中的类似监控和劫持功能。

Koi Security研究员Idan Dardikman在关于这些恶意软件感染的扩展的博客文章中指出:“这不是某个周末拼凑出来的明显诈骗扩展。这是一个精心制作的特洛伊木马,它确实提供了所承诺的功能,同时劫持你的浏览器,跟踪你访问的每个网站,并维持一个持久的命令和控制后门。”

攻击技术分析

通过扩展更新部署恶意代码

Koi研究人员发现,大多数恶意扩展在最初发布时并无危害。相反,它们后来通过版本更新变得危险,这种技术使它们能够长时间未被发现地运行。

Dardikman在文章中表示:“由于Google和Microsoft处理浏览器扩展更新的方式,这些恶意版本在两个平台上为超过230万用户自动静默安装——其中大多数人从未点击任何东西。”

研究人员表示,此事件凸显了浏览器生态系统内供应链妥协的风险。“那些本应确保用户安全的机制——验证状态、推荐位置、无缝更新——最终放大了恶意软件的传播范围,“他补充道。

平台响应与企业影响

Google发言人表示:“可以确认Chrome Web商店中的所有扩展都已被移除。“Microsoft未对此发展发表评论。

Everest Group实践总监Arjun Chauhan表示,此活动反映了攻击者策略的转变。“与针对后端系统的传统供应链攻击不同,此活动渗透了用户日常信任的工具——他们的浏览器扩展。恶意代码的延迟激活凸显了企业安全模型中的关键差距。”

他指出,初步审查已不再足够。“组织必须实施浏览器扩展的持续监控,执行严格的权限控制,并教育员工有关看似可信工具的风险。现在必须对浏览器扩展采用零信任方法。”

浏览器劫持和钓鱼风险

根据研究,恶意代码嵌入在每个扩展的后台服务工作者中,并使用浏览器API监控标签活动。捕获的数据(包括URL和唯一跟踪ID)被发送到攻击者控制的服务器,这些服务器反过来提供重定向指令。

该设置支持多种攻击场景,包括重定向到钓鱼页面、使用克隆登录站点窃取银行凭证,以及通过被劫持的会议邀请传递虚假更新提示。

Dardikman表示:“通过18个不同扩展监控230万用户,该活动创建了一个巨大的持久中间人能力,可以在任何时刻被利用。”

跨平台集中基础设施

该活动横跨Chrome和Edge,每个扩展都链接到自己的命令和控制子域,以制造独立参与者的假象。研究人员指出,所有扩展最终都连接到一个单一的协调网络。

几个扩展还在两个市场中获得推荐或验证状态,进一步引发了对平台筛选过程的担忧。

Koi Security建议受影响的用户立即卸载扩展,清除浏览器数据以移除跟踪标识符,运行完整的恶意软件扫描,并监控在线账户的异常活动。还建议全面审查已安装的扩展。

已知恶意扩展列表

已知的恶意扩展包括:“Color Picker, Eyedropper — Geco colorpick”、“VPN Proxy to Unblock Discord Anywhere”、“Emoji keyboard online — copy&paste your emoji”、“Free Weather Forecast”、“Unlock Discord”、“Dark Theme — Dark Reader for Chrome”、“Volume Max — Ultimate Sound Booster”、“Unblock TikTok — Seamless Access with One-Click Proxy”、“Unlock YouTube VPN”、“Unlock TikTok"和"Weather”。

市场差距和长期风险

此事件凸显了浏览器扩展治理中的系统性弱点。Google和Microsoft的验证过程未能检测到恶意软件,即使一些扩展获得了推广位置和信任徽章。

Dardikman表示:“攻击者已成功利用了用户依赖的每个信任信号——验证徽章、安装计数、推荐位置、多年的合法运营和正面评价。这些可信度机制被用来对抗用户。”

Chauhan补充说,平台级变更十分必要。“静态分析和手动审查无法跟上当今的威胁。为防止类似活动,Google和Microsoft必须投资于动态分析、实时扩展监控和更透明的更新过程。加强这些领域对于恢复用户信任至关重要。”

更广泛的安全警示

研究人员将此活动描述为浏览器安全的转折点。RedDirection背后的威胁行为者没有依赖快速获胜的攻击,而是开发了一个耐心的长期基础设施,使他们在激活恶意软件之前能够多年逃避检测。

时机也值得注意。该活动的曝光恰在MITRE在其ATT&CK框架中添加"IDE扩展"作为新类别几天后,这引起了人们对第三方软件生态系统内日益增长威胁的关注。

Dardikman在博客文章中表示:“如果通过所有信任测试的浏览器扩展可以一夜之间变成恶意软件,那么管理它们的安全模型就需要改变。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次