超过50万 VKontakte 账户被恶意 Chrome 扩展劫持

网络安全研究人员发现了一场恶意软件活动，据称通过伪装成定制工具的 Google Chrome 浏览器扩展，劫持了 VKontakte（俄罗斯最受欢迎的社交网络）上约50万账户。

Koi Security 的研究人员在上周发布的报告中称，他们识别出一组五个 Chrome 扩展，这些扩展被宣传为更改主题和提升 VK 使用体验的工具。该扩展在未获用户同意的情况下控制受感染账户并操纵设置。

这些扩展累计安装超过50万次，能够自动将受害者订阅到攻击者控制的群组、每30天重置个人设置，并利用 VK 安全防护的漏洞执行未授权操作。

如果受害者为额外主题或功能付费，恶意软件会记录付款并解锁更多功能，同时在后台继续滥用其账户。

这些扩展会自动且静默地更新，这意味着攻击者可以在无需用户交互的情况下推送新的恶意代码。

研究人员将此行动追溯到使用 GitHub 别名 “2vk” 的单一威胁行为者，该行为者将 VKontakte 本身作为恶意软件基础设施的一部分，使得该活动更难被检测和阻断。

强制的群组订阅帮助扩大了恶意软件的传播范围。每当用户在安装了受感染扩展的情况下访问社交网络时，极有可能被自动订阅到攻击者的群组，而该群组已拥有数百万粉丝。

至少有一个主要扩展——VK Styles——在研究人员标记后于2月6日被从 Chrome 网上应用店移除。

该活动自2025年中期开始活跃，并持续至2026年1月。其目标包括俄语用户，以及遍及东欧、中亚和全球俄裔社区的用户。

浏览器扩展是黑客的热门目标，因为它们能够深度访问浏览器数据，包括已认证的会话和敏感信息。它们也易于更新，且往往不像传统软件那样受到严格审查。

去年一月，网络安全研究人员发现了36个被注入窃取数据代码的 Chrome 扩展，其中大多数与人工智能（AI）工具和虚拟专用网络（VPN）有关。这些扩展累计约有260万人使用，包含第三方工具如 Google Meet 的 ChatGPT、Bard AI Chat 和 VPNCity。