文章总结： PhantomShuttle扩展程序伪装成代理插件自2017年起活跃于Chrome商店，针对中国用户劫持流量至攻击者服务器。它利用隐藏代码拦截HTTP请求并窃取凭据、Cookie和API令牌等敏感信息，覆盖170多个高价值域名。建议用户仅安装信誉良好发布商的插件并审查权限请求。 综合评分： 78 文章分类： 恶意软件,供应链安全,威胁情报,数据安全

“Phantom Shuttle”的扩展程序伪装成代理服务的插件劫持用户流量并窃取敏感数据。

暗镜

2025年12月26日 18:40 北京

Chrome网上应用商店中的两款名为“Phantom Shuttle”的扩展程序伪装成代理服务的插件，企图劫持用户流量并窃取敏感数据。

根据 Socket 供应链安全平台的研究人员的报告，截至撰写本文时，这两个扩展程序仍然在 Chrome 官方应用商店中，并且至少从 2017 年起就一直处于活跃状态。

Phantom Shuttle 的目标用户是中国用户，包括需要在中国各地测试网络连接的外贸工人。

这两款扩展程序均以同一开发者的名义发布，并被宣传为可以代理流量和测试网络速度的工具。它们的订阅价格在 1.4 美元到 13.6 美元之间。

Phantom Shuttle 扩展程序已上架网络商店。 来源：BleepingComputer

隐蔽数据窃取功能

Socket.dev 的研究人员表示，Phantom Shuttle 会将所有用户网络流量路由到由攻击者控制的代理服务器，这些代理服务器可通过硬编码的凭据访问。执行此操作的代码被添加到合法的 jQuery 库的前面。

恶意代码使用自定义字符索引编码方案隐藏硬编码的代理凭据。通过网络流量监听器，这些扩展程序可以拦截每个网站上的 HTTP 身份验证请求。

为了自动将用户流量通过攻击者的代理服务器，恶意扩展程序使用自动配置脚本动态地重新配置 Chrome 的代理设置。

在默认的“智能”模式下，它通过代理网络路由超过 170 个高价值域名，包括开发者平台、云服务控制台、社交媒体网站和成人内容门户网站。

为避免干扰和被发现，本地网络和命令与控制域被排除在外。

该扩展程序充当中间人，可以从任何表单中捕获数据（凭据、卡详细信息、密码、个人信息），从 HTTP 标头中窃取会话 cookie，并从请求中提取 API 令牌。

BleepingComputer 已就这些扩展程序仍存在于网上商店一事联系了谷歌，但目前尚未收到回复。

建议 Chrome 用户只信任信誉良好的发布商提供的扩展程序，查看多个用户评论，并注意安装时请求的权限。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 《“Phantom Shuttle”的扩展程序伪装成代理服务的插件劫持用户流量并窃取敏感数据。》