两款 Chrome 扩展被发现暗中窃取超过 170 个站点的凭证

网络安全研究人员发现了两款同名且由同一开发者发布的恶意 Google Chrome 扩展，这些扩展具备拦截流量和捕获用户凭证的能力。

这些扩展被宣传为面向开发者和外贸人员的“多地点网络速度测试插件”。截至撰写时，这两个浏览器插件均可下载。扩展的具体信息如下：

• Phantom Shuttle（ID：fbfldogmkadejddihifklefknmikncaj）- 2,000 用户（发布于 2017 年 11 月 26 日）
• Phantom Shuttle（ID：ocpcmfmiidofonkbodpdhgddhlcmcofd）- 180 用户（发布于 2023 年 4 月 27 日）

Socket 安全研究员 Kush Pandya 表示：“用户支付 9.9 至 95.9 元人民币的订阅费用，以为自己购买的是合法的 VPN 服务，但这两种变体执行完全相同的恶意操作。”

“在订阅的幌子背后，这些扩展通过注入身份验证凭证实现完整的流量拦截，充当中间人代理，并持续向威胁行为者的 C2（指挥控制）服务器外泄用户数据。”

一旦不知情的用户完成付款，他们会获得 VIP 状态，扩展会自动启用“smarty”代理模式，将超过 170 个目标域名的流量通过 C2 基础设施路由。

扩展会在用户对代理服务器进行身份验证后，使用代理自动配置（PAC）脚本实现三种模式：

• close：关闭代理功能
• always：将所有网络流量通过代理路由
• smarty：将硬编码的 170 多个高价值域名通过代理路由

这些域名包括开发者平台（GitHub、Stack Overflow、Docker）、云服务（AWS、Digital Ocean、Microsoft Azure）、企业解决方案（Cisco、IBM、VMware）、社交媒体（Facebook、Instagram、Twitter）以及成人内容站点。研究人员推测，将色情站点列入目标可能是为了敲诈受害者。

最终，这些行为导致用户的网络流量通过受威胁行为者控制的代理，并向 C2 服务器（phantomshuttle[.]space）维持 60 秒一次的心跳通信。攻击者因此获得中间人位置，可捕获流量、篡改响应并注入任意负载。

更重要的是，心跳信息每五分钟通过 HTTP GET 请求将 VIP 用户的电子邮件、明文密码和扩展版本号发送至外部服务器，实现持续的凭证外泄和会话监控。

Socket 认为：“心跳外泄（凭证和元数据）加上代理中间人（实时流量捕获）的组合，使得该扩展具备连续运行的全面数据窃取能力。”

换言之，扩展在 VIP 模式激活期间会捕获密码、信用卡号、身份验证 Cookie、浏览历史、表单数据、API 密钥以及访问令牌。开发者机密的被窃取还可能为供应链攻击打开大门。

目前尚不清楚是谁在幕后运营这项已有八年历史的行动，但扩展描述使用中文、集成支付宝/微信支付进行付款，并使用阿里云托管 C2 域名，均指向中国境内的组织。

研究员指出：“订阅模式既能保持受害者黏性，又能产生收益；专业的支付与基础设施进一步制造了合法的假象。用户误以为自己在购买 VPN 服务，却在不知情的情况下让整个网络流量被完全泄露。”

此发现彰显了基于浏览器的扩展正逐渐演变为企业未受管控的风险层。已安装这些扩展的用户应尽快卸载。安全团队应实施扩展白名单、监控带有订阅付费系统且拥有代理权限的扩展，并对可疑的代理身份验证尝试进行网络监测。