131个恶意Chrome扩展程序被发现针对WhatsApp用户

Socket威胁研究团队披露，在Chrome应用商店中发现了131个活跃的恶意Chrome扩展程序，这些扩展程序构成了一波针对WhatsApp网页版用户的新型垃圾软件。

这些扩展程序并非传统恶意软件，而是作为高风险自动化工具运行，系统性违反平台政策以促进大规模垃圾邮件活动，主要针对巴西用户。

经销商模式催生克隆泛滥

该行动的核心是一个单一的WhatsApp网页版自动化工具，被克隆并重新包装成131个不同的扩展程序。尽管拥有独特的名称、徽标和营销网站，但所有克隆版本共享相同的代码库、设计模式和后端基础设施。

品牌差异掩盖了底层现实：超过80个扩展程序带有"WL Extensão"标签或近似变体，但所有这些扩展程序仅由两个与巴西公司DBX Tecnologia及其关联公司Grupo OPT相关的开发者账户发布。

该行动的主要特征包括：

• 单个WhatsApp网页版自动化工具的131个重新品牌化克隆
• 所有扩展程序共享相同的代码库和基础设施
• 仅通过两个开发者账户发布：suporte@grupoopt.com.br和kaio.feitosa@grupoopt.com.br
• 83个列表中使用WL Extensão和WLExtensao品牌
• 该活动已运行至少九个月，并在2025年定期更新

这种结构模仿了特许经营商业模式。经销商支付许可费后，会收到可定制的构建版本——包括徽标、名称和界面调整，但后端和核心代码保持不变并由中央管理。

规避政策与针对用户

这些扩展程序的目的很明确：通过WhatsApp网页版自动化批量消息发送，包括规避WhatsApp反垃圾邮件算法的调度和模板功能。

该软件直接将代码注入WhatsApp网页版页面，在合法WhatsApp脚本旁边协调批量未经请求的外联活动。

推广材料和教程特别强调了调整消息间隔和传递模式以绕过检测系统的方法。

政策违规和技术机制包括：

• 直接在WhatsApp网页版页面中与合法脚本一起注入代码
• 旨在绕过反垃圾邮件控制的自动化批量消息发送和调度系统
• 违反Chrome应用商店禁止重复扩展程序和垃圾邮件的规定
• 规避WhatsApp商业消息政策要求的明确选择加入
• 营销材料虚假声称Chrome应用商店存在保证安全审计

声称Chrome应用商店存在保证严格代码审计或隐私合规的说法具有误导性。实际上，滥用Chrome应用商店政策是该行动的核心：Google明确禁止重复扩展程序、大规模垃圾邮件以及在未经用户同意的情况下发送消息。

广泛影响与持续威胁

这131个扩展程序总共拥有至少20,905名活跃用户。Socket的AI安全分析标记了如"Organize-C"等直接违反政策的示例。在发布时，所有扩展程序仍然活跃，尽管已提交删除请求。

对于用户和组织而言，此活动强调了安全控制的紧迫需求：将Chrome扩展程序安装限制在可信来源，使用清单和权限分析工具，并密切监控可疑行为。

随着批量消息垃圾邮件的增加，对于依赖WhatsApp进行业务或个人通信的任何人来说，强有力的对策都是必须的。