文章总结： 本文揭露潜伏多年的恶意Chrome插件PhantomShuttle，它伪装成测速工具收费，利用chrome.webRequestAPI静默注入代理凭证劫持流量，并通过PAC脚本针对GitHub、AWS等170余个高价值域名实施中间人攻击。插件还通过心跳机制明文回传VIP账号密码。建议用户立即卸载并修改相关敏感密码。 综合评分： 90 文章分类： 威胁情报,恶意软件,WEB安全,安全意识

深扒 Phantom Shuttle：一款潜伏8年的 Chrome 恶意插件是如何实施“降维打击”的？

原创

Hankzheng

技术修道场

2025年12月29日 07:33 广东

大家好，我是你们的老朋友，那个总爱扒皮技术内幕的攻城狮。

作为搞技术的，谁的 Chrome 浏览器上没挂着几十个插件？尤其是做开发或者外贸的朋友，为了测试不同地区的网络速度，或者访问一些国外的技术文档，往往需要用到一些所谓的“网络加速”或“代理”工具。

但如果我告诉你，你每个月花几十块钱开通 VIP 的一款“良心”插件，背地里却是个全自动的账号收割机，你慌不慌？

最近，安全研究机构 Socket 曝光了一个潜伏已久的大瓜：两款名为 Phantom Shuttle 的 Chrome 扩展程序，打着“多地网络测速插件”的旗号，实际上干着 中间人攻击 (MitM) 的勾当。

最骚的是，这玩意儿还像模像样地收着会员费，真可谓是“杀人诛心”——让你花钱请人偷你的家。今天，咱们就从技术角度扒一扒，这帮黑客究竟是用了什么“骚操作”，神不知鬼觉地偷走了你的凭证。

01 披着羊皮的狼：付费才“干坏事”

这两款插件分别发布于 2017 年和 2023 年，在商店里主要针对开发人员和外贸人员。它们的高明之处在于伪装。

这不仅仅是界面做得像，功能也真的能用。它们确实能测试代理服务器的延迟，显示连接状态。甚至，它们还搞了一套订阅模式，价格从 9.9 元到 95.9 元人民币不等。

划重点： 只有当你付费成为 VIP 后，插件才会激活那个恶意的“Smarty”代理模式。这种逻辑非常鸡贼，不仅通过收费筛选出了高价值目标（愿意为工具付费的人，通常账号价值也高），还避开了很多免费用户的低价值流量，降低了暴露风险。

02 硬核拆解：它是如何劫持流量的？

这就是我们要聊的技术干货了。这不仅仅是一个简单的钓鱼网页，而是一次教科书级别的浏览器 API 滥用。

黑客修改了插件中捆绑的 jquery-1.12.2.min.js 和 scripts.js 库。这招很隐蔽，一般人审查代码时容易忽略这种标准库文件。

核心技术点一：onAuthRequired 的静默注入

这是最致命的一步。黑客利用了 Chrome 的 chrome.webRequest API。代码中注册了一个监听器，专门监听 onAuthRequired 事件。

// 伪代码逻辑演示 chrome.webRequest.onAuthRequired.addListener( function(details) { return { authCredentials: { username: "topfany", password: "963852wei" // 硬编码的代理凭证 } }; }, {urls: [""]}, ["blocking"] );

对于懂行的人来说，看这段逻辑就明白了：当任何网站发起 HTTP 认证请求（如 Basic Auth, Digest Auth 或代理认证）时，这个监听器会在浏览器弹出“输入用户名密码”的弹窗之前就被触发。

插件处于 asyncBlocking（异步阻塞）模式，它会瞬间把硬编码在代码里的代理凭证塞进去。

这意味着什么？ 意味着整个认证过程对用户是完全透明的。你根本不知道你的浏览器刚刚默默地跟黑客的代理服务器“对了一次暗号”，然后你的流量就开始走黑客的通道了。

核心技术点二：基于 PAC 的“智能”分流

连黑客都知道搞“精细化运营”。一旦你连上了他们的代理，插件就会通过 PAC (Proxy Auto-Configuration) 脚本开启“Smarty”模式。

它不是傻乎乎地代理所有流量（那样太慢，容易被发现），而是维护了一份包含 170 多个高价值域名 的列表。

这张列表简直就是 IT 人的“全家桶”：

• 代码托管：

  GitHub, Stack Overflow

• 云服务：

  AWS, Microsoft Azure, Digital Ocean

• 企业工具：

  Cisco, IBM, VMware, Docker

• 社交媒体：

  Twitter, Facebook

只有当你访问这些网站时，流量才会经过黑客的 C2 服务器。这就形成了一个完美的中间人攻击 (MitM) 环境。你发往 GitHub 的代码、你登录 AWS 的 Session Token、甚至是你的 API Key，全都在黑客眼皮子底下”流过“。

03 令人窒息的操作：明文回传

如果说上面的技术实现还算有点水平，那接下来的操作简直就是“法外狂徒”般的傲慢。

除了劫持流量，这插件还有一个心跳机制 (Heartbeat)。它每隔 5 分钟就会向 C2 服务器（phantomshuttle[.]space）发送一次 HTTP GET 请求。

请求里包含什么呢？

• 插件版本号
• VIP 用户的邮箱
• VIP 用户的密码

是的，你没看错。明文传输！ 它是生怕别人不知道这数据是偷来的吗？这不仅意味着黑客可以随意控制你的插件状态，更意味着你为了买这个“服务”注册的账号密码，直接就送给了对方。很多人习惯一套密码走天下，这时候估计已经“火烧连营”了。

04 细思极恐的细节

研究人员 Socket 指出，除了 IT 类的网站，那份 170 个域名的列表里还包含了大量的成人网站。

大家都是成年人，这点小心思不难猜。黑客不仅仅想偷你的代码和服务器权限，可能还存了勒索的心思。记录下你的浏览历史，配合你的真实邮箱和支付信息，这画面太美我不敢看。

05 写在最后：如何自保？

说实话，这种攻击对于企业安全来说简直是噩梦。因为它是用户主动安装、主动付费、甚至觉得这就该是这样工作的软件。

给各位老铁几条建议：

1. 立刻自查：

   搜索一下你的扩展程序列表，只要看到 “Phantom Shuttle” 或者 ID 是 fbfldogmkadejddihifklefknmikncaj / ocpcmfmiidofonkbodpdhgddhlcmcofd 的，别犹豫，立马删！

2. 修改密码：

   如果你中招了，把你在这个插件上用过的密码，以及在它代理期间登录过的所有核心网站（AWS, Github等）的密码全部改一遍。

3. 别乱装“神器”：

   尤其涉及到网络代理类的，尽量选择开源的、或者大厂背书的工具。闭源的小众插件，风险真的不可控。

技术本无罪，但用技术作恶的人，终将受到审判。

觉得这篇文章有用的，转给身边的程序员兄弟们，帮他们避个雷！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《深扒 Phantom Shuttle：一款潜伏8年的 Chrome 恶意插件是如何实施“降维打击”的？》