文章总结： Socket团队揭露5款伪装成Workday等生产力工具的恶意Chrome扩展，窃取会话令牌并劫持企业账户。攻击采用Cookie窃取、双向注入绕过MFA及阻断安全响应页面访问的三重技术，具备反调试能力。建议企业立即审查浏览器扩展策略并排查相关插件，防止敏感数据泄露。 综合评分： 88 文章分类： 恶意软件,威胁情报,办公安全,安全意识,漏洞预警

5款恶意Chrome扩展伪装成生产力工具劫持企业会话

FreeBuf

2026年1月20日 18:32 上海

Socket威胁研究团队发现了一个针对企业环境的新型复杂攻击活动。五款伪装成Workday、NetSuite和SAP SuccessFactors等主流平台生产力工具的恶意Google Chrome扩展，被发现窃取身份验证令牌并劫持用户会话。

这些名为DataByCloud Access、Data By Cloud 1、Data By Cloud 2、Tool Access 11和Software Access的恶意扩展，累计影响用户已超过2,300名。虽然它们宣称能优化工作流程并提供”高级工具”，但实际功能是渗透企业网络并破坏安全响应机制。

攻击者为其恶意软件披上了专业合法的外衣。这些扩展具有精美的仪表盘界面，申请的权限也看似常规，不会立即引发安全警报。

DataByCloud 2扩展界面

“这些扩展以提升企业平台访问效率的生产力工具自居…主要针对需要跨多账户操作或追求更快工作流的用户。”

然而在这层伪装之下，是一个组织严密的恶意软件行动。Socket分析显示，这些工具共享相同的代码结构、API端点和安全工具检测列表，表明它们出自同一威胁行为者之手。

Part01

三重攻击技术组合

该攻击活动采用三种恶意技术组合来入侵账户并维持控制：

• Cookie窃取：扩展程序持续窃取会话令牌。例如DataByCloud Access会提取名为_session的cookie，并每隔60秒将其传输到命令控制（C2）服务器。”这确保即使用户在正常工作流程中登出再登录，攻击者仍能持有有效令牌。”
• 会话劫持：Software Access扩展通过双向cookie注入技术将窃取行为升级。它从攻击者服务器获取被盗凭证，并直接注入受害者浏览器，使攻击者能绕过多因素认证（MFA）。”Software Access的双向注入完全消除了认证要求，攻击者无需密码即可访问被入侵账户。”
• 阻断应急响应：最具隐蔽性的功能是使安全团队”失明”。Data By Cloud 2和Tool Access 11等扩展会主动监控并阻断对关键管理页面的访问。”这些阻断扩展制造了安全控制失效场景。安全团队虽能发现可疑活动…但所有标准处置操作均被阻断。”

被阻断的页面包括密码修改表单、双因素认证设备管理界面和安全审计日志。当管理员尝试访问这些页面时，扩展会立即清空内容并重定向，实质上将防御者锁死在控制面板之外。

Part02

反检测技术

恶意软件作者还实施了规避研究人员检测的措施。某些变种包含DisableDevtool库以防止代码检查，并采用”正则表达式toString修改”技术来检测调试器是否处于活动状态。

“没有任何合法扩展会阻止用户检查自己的密码字段，或禁止开发者工具打开。这些功能的存在纯粹是为了隐藏恶意行为。”

通过入侵员工日常使用的工具，攻击者能绕过边界防御，直接获取敏感的HR和ERP数据。建议企业立即审查浏览器扩展管理策略，并排查是否安装了已识别的恶意插件。

参考来源：

Fake Productivity Tools: 5 Malicious Chrome Extensions Hijack Enterprise Sessions

Fake Productivity Tools: 5 Malicious Chrome Extensions Hijack Enterprise Sessions

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《5款恶意Chrome扩展伪装成生产力工具劫持企业会话》