131 Chrome Extensions Caught Hijacking WhatsApp Web for Massive Spam Campaign

网络安全研究人员发现了一项协同攻击活动，该活动利用131个经过重新包装的WhatsApp Web自动化扩展程序的克隆版本，大规模向巴西用户发送垃圾信息。

根据供应链安全公司Socket的分析，这131个垃圾邮件扩展程序共享相同的代码库、设计模式和基础设施。这些浏览器插件总共拥有约20,905名活跃用户。

安全研究员Kirill Boychenko表示：“它们不是典型的恶意软件，但作为高风险垃圾邮件自动化工具运行，滥用平台规则。代码直接注入到WhatsApp网页中，与WhatsApp自身的脚本一起运行，以旨在绕过WhatsApp反垃圾邮件执行的方式自动化批量触达和调度。”

该活动的最终目标是以绕过消息平台速率限制和反垃圾邮件控制的方式，通过WhatsApp发送大量出站消息。

据评估，此活动已持续至少九个月，最近在2025年10月17日仍观察到扩展程序的新上传和版本更新。部分已识别的扩展程序如下：

• YouSeller (10,000用户)
• performancemais (239用户)
• Botflow (38用户)
• ZapVende (32用户)

研究发现这些扩展程序使用不同的名称和徽标，但在幕后，绝大多数由"WL Extensão"及其变体"WLExtensao"发布。据信，品牌差异是特许经营模式的结果，该模式允许运营 affiliates 用一家名为DBX Tecnologia公司提供的原始扩展程序的各种克隆版本淹没Chrome网上应用店。

这些附加组件还声称伪装成WhatsApp的客户关系管理(CRM)工具，允许用户通过应用程序的网页版最大化销售额。

ZapVende在Chrome网上应用店上的描述写道：“将您的WhatsApp变成强大的销售和联系人管理工具。使用Zap Vende，您将获得直观的CRM、消息自动化、批量消息、可视化销售漏斗等等。以实用高效的方式组织客户服务、跟踪潜在客户和安排消息。”

根据Socket的说法，DBX Tecnologia宣传一个经销商白标计划，允许潜在合作伙伴重新品牌化并在自己的品牌下销售其WhatsApp Web扩展程序，承诺通过投资12,000雷亚尔获得30,000至84,000雷亚尔的经常性收入。

值得注意的是，这种做法违反了Google的Chrome网上应用店垃圾邮件和滥用政策，该政策禁止开发者及其 affiliates 提交在平台上提供重复功能的多个扩展程序。DBX Tecnologia还被发现发布了关于在使用扩展程序时绕过WhatsApp反垃圾邮件算法的YouTube视频。

Boychenko指出：“该集群包含分布在发布者账户中的几乎相同的副本，用于批量未经请求的触达营销，并在web.whatsapp.com内自动化消息发送而无需用户确认。目标是在逃避反垃圾邮件系统的同时保持批量活动运行。”

此披露发布之际，Trend Micro、Sophos和Kaspersky揭示了一项针对巴西用户的大规模活动，该活动使用名为SORVEPOTEL的WhatsApp蠕虫来分发代号为Maverick的银行木马。