文章总结： 安全研究人员发现108个恶意Chrome扩展通过C2服务器窃取谷歌账户和Telegram会话数据，影响2万用户。扩展以游戏、翻译等工具伪装，每15秒过滤Telegram会话并注入广告，共用144.126.135.238后端。俄罗苏注释代码。建议用户立即卸载扩展并退出Telegram网页会话。 综合评分： 86 文章分类： 恶意软件,漏洞分析,威胁情报,数据泄露,安全工具

108个恶意Chrome扩展程序窃取谷歌和Telegram数据，影响2万+用户

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年4月14日 17:43 北京

在小说阅读器读本章

去阅读

网络安全研究人员发现了一项新的活动，发现一个由108个Google Chrome扩展组成的集群与同一命令与控制（C2）基础设施通信，目的是收集用户数据，并通过向每个访问的网页注入广告和任意JavaScript代码来实现浏览器级的滥用。

据Socket介绍，这些扩展以五个不同的发行商名义发布——Yana Project、GameGen、SideGames、Rodeo Games和InterAlt——在Chrome网络商店累计安装了约2万次。

安全研究员Kush Pandya在分析中表示：“所有108条路由被盗的凭证、用户身份和浏览数据，都被同一运营商控制的服务器。”

其中，54个插件通过OAuth2窃取谷歌账户身份，45个扩展包含通用后门，浏览器启动后立即打开任意URL，其余扩展则表现出各种恶意行为—

• 每15秒过滤一次Telegram网络会话

• 去除YouTube和TikTok的安全首部（即内容安全政策、X帧选项和CORS），注入赌博叠加和广告

• 在用户访问的每个页面中注入内容脚本

• 通过威胁行为者的服务器代理所有翻译请求

为了给用户披上一层合法性，这些被识别的扩展名冒充了Telegram侧边栏客户端、老虎机和Keno游戏、YouTube和TikTok增强器、文本翻译工具以及页面工具。宣传的功能多样，旨在广泛覆盖，同时共享相同的后端。

然而，用户并不知道，后台运行的恶意代码会捕获会话信息，注入任意脚本，并打开攻击者选择的URL。

以下列出了一些已识别的延伸线路——

• Telegram多账户（ID：obifanppcpchlehkjipahhphbcbjekfa），可提取Telegram Web使用的user_auth令牌并将数据导出到远程服务器。它还可以通过威胁行为者提供的会话数据覆盖localStorage，并强制加载消息应用，实际上将受害者的Telegram会话替换为威胁行为者选择的会话。

• Telegram 的 Web 客户端 – Teleside（ID：mdcfennpfgkngnibjbpnpaafcjnhcjno），它剥离 Telegram 的安全头部并注入脚本以窃取 Telegram 会话。

• 方程式冲刺赛车游戏（ID：akebbllmckjphjiojeioidhnddnplj），该游戏在受害者首次点击登录按钮时窃取用户的谷歌账户身份。这包括电子邮件、全名、头像网址和谷歌账户标识等详细信息。

“有五个扩展使用Chrome的声明式NetRequest API，在页面加载前从目标网站剥夺安全头部，”Socket说。“所有108个恶意扩展共用同一个后端，托管地址为144.126.135[.]， 238.”

目前尚不清楚这些违反政策的延期背后是谁。然而，对源代码的分析发现了多个插件中存在俄语注释。

安装任何扩展的用户应立即移除，并从Telegram移动应用中退出所有Telegram网页会话。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《108个恶意Chrome扩展程序窃取谷歌和Telegram数据，影响2万+用户》