220万浏览器扩展在中国背景的活动中窃取企业会议情报
一场复杂的会议情报窃取行动
一个代号为 DarkSpectre 的高级威胁攻击者,在过去七年中,通过官方应用商店的恶意扩展程序,成功侵入了约 780万用户 的浏览器。
他们最新的活动被称为 “Zoom窃密者”,通过 18个看似合法的浏览器扩展,专门针对企业会议情报进行窃取。这些扩展已感染了 220万 Chrome、Firefox 和 Edge 浏览器安装。
这些工具从 28个会议平台(包括 Zoom、Teams 和 WebEx)实时收集数据,将会议链接、登录凭证、参与者详细信息和专有企业信息直接传输到攻击者控制的服务器。
关联线索
这场活动由专注于分析软件依赖和浏览器生态系统威胁的供应链安全公司 Koi Security 的研究人员发现并记录。他们与 BleepingComputer 独家分享的调查揭示了一个跨越近十年的、三个独立但相关的活动网络。
“这场活动之所以特别阴险,在于其耐心和合法性伪装,“一位因调查正在进行而要求匿名的 Koi Security 高级分析师解释道。“这些并非明显的恶意工具——它们是功能完整的扩展,数百万人自愿安装,通常拥有高评分和推荐状态。”
研究人员确认 DarkSpectre 是以下活动的共同幕后黑手:
- Zoom窃密者:18个窃取会议情报的扩展(活跃中)
- ShadyPanda:9个恶意扩展 + 85个"休眠"扩展,用于投放间谍软件(仍然活跃)
- GhostPoster:此前针对 Firefox 用户的凭证窃取程序(已记录)
尽管研究人员进行了负责任的披露,截至本文发布时,多个已识别的扩展程序仍在 Chrome 网上应用店中可用。
窃密程序的剖析
扩展伪装
“Zoom窃密者"扩展程序伪装成合法的生产力工具。其中最受欢迎的包括:
- Chrome Audio Capture:超过 80万次 安装
- Twitter X Video Downloader:超过 45万次 安装
- 各种"录音助手"和"下载管理器"扩展
所有这些扩展都完全按照广告宣传的那样运行,这构成了它们抵御检测的主要防线。然而,它们的清单文件请求的权限范围超出了其声明的功能——具体来说,无论扩展的用途如何,都会请求访问 28个不同的视频会议域。
数据窃取方法
恶意代码仅在用户导航到目标平台时激活,采用基于事件的触发器,包括:
- 在注册/加入页面检测页面加载
- 抓取 DOM 中的会议元数据
- 拦截 WebSocket 通信
- 捕获 URL 参数(包括嵌入的密码)
数据收集分类
| 数据类型 | 示例 | 潜在滥用 |
|---|---|---|
| 访问凭证 | 会议 ID、嵌入的密码、注册令牌 | 未经授权的会议访问 |
| 参与者情报 | 姓名、职位、个人简介、头像照片 | 社会工程学、身份冒充 |
| 企业背景信息 | 公司标识、会议主题、演讲者所属机构 | 竞争对手情报、鱼叉式网络钓鱼 |
| 时间数据 | 预定时间、持续时间、重复模式 | 计划物理或数字入侵 |
数据外传基础设施
与传统存储并定期传输数据的恶意软件不同,“Zoom窃密者"扩展建立持久的 WebSocket 连接,以 实时流式传输 情报。其基础设施采用:
- Google Cloud Functions 作为初始中继点
- Firebase 实时数据库 用于结构化数据存储
- 阿里云服务器 用于最终数据汇总
- 域生成算法 用于弹性的命令与控制
“实时流式传输尤其令人担忧,“Koi Security 报告指出。“这意味着攻击者有可能在会议仍在进行时就加入会议,而不仅仅是窃取数据供以后使用。”
追踪 DarkSpectre
Koi Security 的研究人员根据多条汇聚的证据线,将 DarkSpectre 与中国背景的行动联系起来:
技术指标
- 托管基础设施:主要服务器托管在阿里云上,其 ICP 备案许可证注册给湖北省的实体。
- 代码构件:混淆代码段中的中文语言字符串、注释和变量名。
- 开发模式:代码编译时间戳一致地与 UTC+8(中国标准时间)对齐。
- 货币化链接:资金流向与中国电子商务和数字支付平台相关联。
战术一致性
DarkSpectre 的行动展示了国家背景网络间谍组织的标志性特征:
- 长期持久性(超过7年的持续运作)
- 高资源分配(在多个商店维护数百个扩展)
- 战略目标(企业情报而非金融盗窃)
- 耐心的"休眠"方法(扩展保持良性数月,然后通过更新武器化)
历史背景
这场活动代表了先前记录在案的、针对协作工具的中国背景行动的演变。行业分析师指出,自2020年以来,对远程工作基础设施的关注度增加,多个国家级组织都在开发利用分布式企业的能力。
间谍活动影响
被窃取的数据创造了 Koi Security 所称的 “企业情报图” —— 一个包含关系、日程安排、专有讨论和访问凭证的关联数据库。
直接风险
- 未经授权的会议访问:被窃取的 Zoom/Teams 链接中的嵌入密码可直接访问机密讨论。
- 高管冒充:详细的参与者个人简介可实现令人信服的社会工程学攻击。
- 战略情报泄露:路线图讨论、并购对话和产品开发会议被暴露。
二次利用途径
这些情报可以通过多种方式被武器化:
- 直接竞争对手优势:出售给或由竞争公司使用。
- 混合战争整合:与物理情报行动结合。
- 供应链目标定位:识别合作伙伴网络中的薄弱环节。
- 股票市场操纵:利用内幕信息进行定时攻击。
“这不仅仅是窃听会议,“一位现在从事企业安全的前情报官员强调。“这是在建立组织关系图——了解谁做决策、他们何时开会、讨论什么内容,以及如何将自己插入这些对话中。”
浏览器商店安全危机
这些扩展程序在官方商店的持续存在,引发了关于商店安全性的根本性问题:
审核流程失败
尽管有自动和手动审核流程:
- 具有明显过度权限的扩展(视频下载器访问 Zoom 域)获得了批准。
- “休眠"扩展通过了初始审核,然后通过更新被武器化。
- 恶意扩展在检测前累积了数十万次下载。
经济利益错位
浏览器商店基于数量的运营模式可能无意中优先考虑了数量而非安全性。面对数百万个扩展和频繁的更新,全面的安全审查仍然具有挑战性。
企业管理缺失
大多数组织缺乏对其员工浏览器扩展安装情况的可见性,造成了一个不受管理的攻击面。
分层防御
针对个人用户
- 进行扩展审计:每周通过
chrome://extensions/审查所有已安装的扩展。 - 应用最小权限原则:质疑任何扩展为何需要访问会议平台。
- 验证开发者身份:检查是否有突然的开发者变更或所有权转移。
- 使用专用浏览器:考虑将会议和普通浏览分开使用不同的浏览器。
针对企业安全团队
- 实施扩展白名单:部署企业浏览器策略以限制安装。
- 监控网络异常:检测到非业务域名的 WebSocket 连接。
- 进行定期扩展审查:自动扫描组织内扩展的权限。
- 强制执行会议安全默认设置:强制使用等候室、禁用"允许参会者在主持人前加入”、移除嵌入密码。
针对平台提供商
- 上下文权限分析:标记请求与功能不匹配的权限的扩展。
- 更新审核要求:将重大更新视为需要全面审核的新提交。
- 声誉评分系统:纳入用户报告分析和行为监控。
- 企业报告 API:为组织提供扩展安装情况的可见性。
行业回应与未解问题
截至发布时:
- Koi Security 已将所有已识别的扩展报告给相关平台提供商。
- Google 未回应关于其在 Chrome 网上应用店中持续存在的多次询问。
- Microsoft 和 Mozilla 正在分别调查 Edge 和 Firefox 扩展。
- InfinityNewTab(多个扩展的列出发行商)未回应询问。
关键的未解决问题包括:
- 会议情报被窃取多久了?
- 有多少组织已遭入侵?
- 具体针对了哪些行业?
- 这些情报是否已被积极用于后续攻击行动?
更大的图景:供应链攻击的演变
“Zoom窃密者"活动代表了软件供应链攻击的成熟,并伴随着几个令人担忧的发展:
从开发到分发
传统的供应链攻击侧重于破坏开发工具或更新机制。这场活动则针对分发渠道本身——浏览器商店,利用了对精选商店的信任。
从恶意软件到合法工具
从明显的恶意软件转向武器化的合法工具,代表了威胁格局的根本变化。“可信"和"恶意"之间的界限已经模糊。
从立即执行到耐心执行
“休眠"方法——扩展在长时间内保持良性——使专注于立即恶意行为的传统威胁检测失效。
“我们正在见证基于扩展的攻击向量的专业化,“Koi Security 报告总结道。“始于临时恶意扩展的活动,已经演变为持续、资源充足的情报收集行动,利用了浏览器扩展信任模型的基础本身。”
结论:重建扩展生态系统信任
“Zoom窃密者"活动暴露了浏览器扩展生态系统中超越任何单一供应商或平台的系统性漏洞。随着协作工具日益成为业务运营的核心,以及浏览器成为主要的工作场所界面,扩展的安全性不能再是事后考虑。
解决方案需要跨多个利益相关者的协作行动:
- 平台提供商 必须实施更严格的安全审核。
- 企业 必须将其安全治理范围扩展到浏览器扩展。
- 用户 必须对权限授予采取更怀疑的态度。
- 安全研究人员 必须继续调查这个不断扩大的攻击面。
也许最重要的是,组织必须认识到会议安全不仅限于平台设置——它包括保护可能与这些会议交互的每个端点和扩展。
DarkSpectre 的行动表明,耐心、资源充足的对手已经将浏览器扩展识别为一个高价值、低风险的攻击向量。现在的问题是,在攻击者将此方法标准化之前,更广泛的生态系统能否实施有效的应对措施。
本报告基于 Koi Security 提供的技术分析、扩展行为的独立验证、基础设施分析以及对网络安全专业人士的采访。所有恶意扩展标识符已在发布前与相关平台提供商共享。