文章总结： 两款Chrome扩展程序在所有权转移后被植入恶意代码，沦为攻击工具。QuickLens剥离安全标头并注入C2控制的JS代码，ShotBird伪造更新提示诱导执行PowerShell窃取数据。恶意载荷采用动态加载技术规避静态分析，形成从浏览器端到主机端的攻击链。该事件揭示了扩展程序供应链的脆弱性，建议企业加强对扩展所有权变更的监控与权限审计，防范可信程序变节风险。 综合评分： 85 文章分类： 恶意软件,供应链安全,威胁情报,漏洞分析

Chrome扩展程序所有权转移后变为恶意软件，可进行代码注入和数据窃取

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月9日 19:14 北京

两款谷歌 Chrome 扩展程序在所有权转移后似乎变成了恶意软件，为攻击者提供了一种向下游用户推送恶意软件、注入任意代码和窃取敏感数据的方法。

以下列出了这两个扩展程序，它们最初都与名为“[email protected]”（BuildMelon）的开发者相关联 –

• QuickLens – 使用 Google Lens 的搜索屏幕（ID：kdenlnncndfnhkognokgfpabgkgehodd） – 7,000 位用户
• ShotBird – 滚动截图、推文图片和编辑器（ID：gengfhhkjekmlejbhmmopegofnoifnjp） – 800 位用户

虽然 QuickLens 已从 Chrome 网上应用商店下架，但截至发稿时，ShotBird 仍然可以访问。ShotBird最初于 2024 年 11 月发布，其开发者 Akshay Anu S (@AkshayAnuOnline)在 X 论坛上声称，该扩展程序适用于“创建专业级、工作室级别的视觉效果”，并且所有处理都在本地进行。

根据monxresearch-sec 发布的研究，该浏览器插件在 2025 年 1 月获得了“特色”标记，之后在上个月的某个时候被移交给了另一位开发者（“[email protected]”）。

Annex Security 的 John Tuckner表示，类似地，QuickLens 在发布仅两天后，即 2025 年 10 月 11 日，就被“[email protected]”挂牌在 ExtensionHub 上出售。2026 年 2 月 1 日，Chrome 网上应用商店页面上该扩展程序的所有者变更为“[email protected]”。

2026 年 2 月 17 日，QuickLens 引入了恶意更新，保留了原有功能，但增加了从每个 HTTP 响应中剥离安全标头（例如 X-Frame-Options）的功能，从而允许注入到网页中的恶意脚本向其他域发出任意请求，绕过内容安全策略 ( CSP ) 保护。

此外，该扩展程序还包含用于识别用户所在国家/地区、检测浏览器和操作系统的代码，并每五分钟轮询一次外部服务器以获取 JavaScript 代码。该代码存储在浏览器的本地存储中，并在每次页面加载时执行。具体做法是：添加一个隐藏的 1×1 GIF 元素，并将 JavaScript 代码字符串设置为该元素的“onload”属性。这样，一旦图像加载完毕，恶意代码就会被执行。

“真正的恶意代码从未出现在扩展程序的源代码中，”塔克纳解释说。“静态分析显示，它只有一个用于创建图像元素的函数。仅此而已。有效载荷是从C2服务器发送并存储在本地存储中的——它们只在运行时存在。”

monxresearch-sec 对 ShotBird 扩展程序进行的类似分析发现，该扩展程序使用直接回调来传递 JavaScript 代码，而不是创建 1×1 像素的图像来触发执行。这段 JavaScript 代码旨在显示一个虚假的 Google Chrome 浏览器更新提示，用户点击后会进入一个类似 ClickFix 的页面，打开 Windows 运行对话框，启动“cmd.exe”命令，并粘贴一条 PowerShell 命令，最终在 Windows 主机上下载名为“googleupdate.exe”的可执行文件。

该恶意软件随后会劫持输入框、文本区域和选定的 HTML 元素，并捕获受害者输入的任何数据。这些数据可能包括凭据、PIN 码、银行卡信息、令牌和政府颁发的身份识别信息。它还能窃取存储在 Chrome 浏览器中的数据，例如密码、浏览历史记录和扩展程序相关信息。

“这是一个两阶段的滥用链：首先是扩展程序端的远程浏览器控制，然后是通过伪造更新实现主机级执行，”研究人员表示。“其结果是浏览器内数据面临高风险泄露，并且至少在一个受影响的系统上确认了主机端脚本的执行。实际上，这使得滥用的影响范围从仅限于浏览器端扩展到可能导致凭证窃取和更广泛的终端安全威胁。”

经评估，这两个扩展程序遭到入侵，且这两个扩展程序是同一威胁行为者所为，并且这两个扩展程序是并行运行的，因为它们使用了相同的命令与控制 (C2) 架构模式、将 ClickFix 诱饵注入浏览上下文以及将所有权转移作为感染途径。

有趣的是，这位扩展程序的原开发者还在 Chrome 网上应用商店以自己的名义发布了 其他几款 扩展程序，而且全部都获得了“精选”徽章。这位开发者在 ExtensionHub 上也有一个账号，不过目前没有上架任何扩展程序出售。此外，此人还试图以 2500 美元的价格出售类似“AIInfraStack[.]com”这样的域名，声称这个“强关键词域名”与“快速发展的 AI 生态系统相关”。

Annex Security公司表示：“这就是扩展程序供应链问题的本质。一款经过审核、功能齐全的‘精选’扩展程序易手后，新所有者会向所有现有用户推送一个带有恶意代码的更新。”

微软发出警告，称存在恶意的基于 Chromium 的浏览器扩展程序，这些扩展程序伪装成合法的 AI 助手工具，以窃取 LLM 聊天记录和浏览数据。与此同时，微软也披露了这一信息。

微软 Defender 安全研究团队表示：“大规模应用后，这种活动会将看似值得信赖的生产力扩展程序变成嵌入到日常企业浏览器使用中的持久数据收集机制，凸显了浏览器扩展程序在企业环境中日益增长的风险。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Chrome扩展程序所有权转移后变为恶意软件，可进行代码注入和数据窃取》