去年全球?yàn)g覽器擴(kuò)展商店新增插件超12萬個(gè)，其中有多少在偷偷復(fù)制你的登錄態(tài)？

安全公司Socket最近扒出一樁持續(xù)數(shù)年的間諜案：108個(gè)惡意Chrome擴(kuò)展共用同一套指揮系統(tǒng)，像連鎖便利店共享中央廚房那樣，把用戶數(shù)據(jù)批量回傳到同一批服務(wù)器。這種"工業(yè)化"的竊取模式，讓企業(yè)防火墻形同虛設(shè)。

「共享黑后臺(tái)」：黑客的降本增效

傳統(tǒng)惡意軟件像手工作坊——每個(gè)工具單獨(dú)開發(fā)、單獨(dú)維護(hù)。這批Chrome擴(kuò)展卻走了另一條路。

108個(gè)插件表面上各自獨(dú)立，有的偽裝成PDF轉(zhuǎn)換器，有的冒充廣告攔截器，還有的打著"提升辦公效率"的旗號(hào)。它們背后連著同一套C2（命令與控制）基礎(chǔ)設(shè)施，所有偷來的數(shù)據(jù)都匯進(jìn)同一批服務(wù)器。

這種設(shè)計(jì)讓攻擊者省去了重復(fù)造輪子的成本。更新一次惡意代碼，108個(gè)插件同時(shí)生效；換一批服務(wù)器地址，所有工具自動(dòng)同步。

對(duì)受害者而言，這意味著更大的暴露面。你在A網(wǎng)站下載的"日歷插件"和B網(wǎng)站安裝的"翻譯工具"，可能是同一伙人在運(yùn)營。一個(gè)插件被舉報(bào)下架，其他107個(gè)仍在活躍。

Socket的研究人員發(fā)現(xiàn)，這套共享架構(gòu)讓攻擊者能以極低的邊際成本擴(kuò)張——每新增一個(gè)惡意擴(kuò)展，只需要復(fù)制前端代碼，后端完全復(fù)用。

繞過雙因素認(rèn)證：偷走你的"臨時(shí)身份證"

這批插件的核心目標(biāo)是兩類數(shù)據(jù)：瀏覽器Cookie和會(huì)話令牌（Session Token）。

普通用戶可能覺得，開了雙因素認(rèn)證（2FA）就高枕無憂。但會(huì)話令牌相當(dāng)于系統(tǒng)發(fā)給你的"臨時(shí)身份證"——有效期內(nèi)無需再次驗(yàn)證身份。黑客拿到它，直接以你的名義登錄，密碼和短信驗(yàn)證碼都成了擺設(shè)。

企業(yè)郵箱、財(cái)務(wù)后臺(tái)、內(nèi)部OA系統(tǒng)，這些通常強(qiáng)制開啟2FA的高價(jià)值目標(biāo)，在會(huì)話劫持面前門戶洞開。

更隱蔽的是竊取時(shí)機(jī)。很多插件會(huì)故意延遲激活，安裝后數(shù)小時(shí)甚至數(shù)天才開始工作，避開用戶剛安裝時(shí)的警惕期。惡意代碼經(jīng)過重度混淆，自動(dòng)化掃描工具難以識(shí)別其真實(shí)意圖。

C2服務(wù)器還會(huì)頻繁更換域名和IP地址，像打游擊一樣讓安全團(tuán)隊(duì)的封鎖名單永遠(yuǎn)滯后一步。

企業(yè)防線：從"信任插件"到"零信任瀏覽器"

Chrome擴(kuò)展的權(quán)限模型設(shè)計(jì)于十年前，當(dāng)時(shí)瀏覽器主要用來讀網(wǎng)頁。如今同一個(gè)擴(kuò)展能讀取你打開的每一頁內(nèi)容、修改頁面數(shù)據(jù)、代理網(wǎng)絡(luò)請(qǐng)求——權(quán)限邊界早已模糊。

Socket給出的應(yīng)急方案透著無奈：企業(yè)必須逐臺(tái)審計(jì)已安裝的擴(kuò)展，建立白名單制度，只允許預(yù)審核過的插件運(yùn)行。個(gè)人用戶要定期清理"可能有用"但從未用過的工具。

這些建議的潛臺(tái)詞是：現(xiàn)有的瀏覽器安全架構(gòu)，無法自動(dòng)區(qū)分"正常擴(kuò)展"和"惡意擴(kuò)展"。

網(wǎng)絡(luò)監(jiān)控層面，管理員需要盯著出站流量，標(biāo)記連接陌生服務(wù)器的異常行為。但這在遠(yuǎn)程辦公普及的今天，執(zhí)行成本極高——員工家里的路由器不會(huì)配合企業(yè)策略。

一個(gè)值得玩味的細(xì)節(jié)是，這108個(gè)插件至今仍有相當(dāng)比例存活于Chrome商店。Google的審核機(jī)制能攔截明顯的惡意代碼，卻對(duì)"先正常、后變惡"的更新策略缺乏有效追溯。

當(dāng)你的瀏覽器提示"此擴(kuò)展需要讀取所有網(wǎng)站數(shù)據(jù)"時(shí)，你上次認(rèn)真看過權(quán)限列表是什么時(shí)候？