知名扩展程序WeTab和Infinity V+等被发现恶意劫持用户 收集用户方方面面的私密信息

网络安全公司 KOI 日前曝光中国软件开发商重庆哨兵科技电子商务有限公司持续多年的恶意行为，该公司通过旗下的多款扩展程序收集用户方方面面的私密信息进行谋利，严重侵害用户的数据安全。

统计显示该公司开发的扩展程序累计下载量达到 430 万次，攻击者发动长达七年的恶意浏览器扩展活动，恶意活动最早可以追溯到 2018~2019 年，不过目前尚不清楚这些扩展程序是被收购后投毒开始原始开发者主动投毒，考虑到从 2018 年就开始投毒，大概率不是收购造成的。

其中知名的扩展程序包括 WeTab 新标签页和 Infinity V + 新标签页，事实上这些扩展程序还在蓝点网等多个科技网站发过宣传文章，只不过没想到最终这些扩展程序沦为侵害用户数据安全的罪魁祸首。

安全公司进行分析后发现这些扩展程序的恶意行为包括：

• 劫持所有搜索查询并将用户的搜索查询重定向到 trovi.com 用来操纵搜索结果获利

• 读取特定域名的 Cookie 并将跟踪数据发送到 nossl.dergoodting.com 创建标识符进行监控

• 在搜索框中的每次输入都会被以 HTTP 明文发送到外部服务器进行数据收集

• 自动下载恶意 JavaScript 代码已完全的浏览器 API 权限执行恶意代码

• 监控用户访问的任意网站并将数据加密发送到开发者的服务器

• 发起中间人攻击：这些恶意扩展还可以拦截和修改网络流量，甚至 HTTPS 连接也可以被劫持

包含恶意行为的扩展程序包括但不限于：

• WeTab 新标签页

• Infinity V + 新标签页

• Clean Master (标榜为 Chrome 缓存清理工具)

• 余下还有超过 140 款各类扩展程序

目前谷歌接到安全公司的举报后已经删除包括 WeTab 在内的多款扩展程序，微软方面暂时部分扩展程序还在 Microsoft Edge 扩展程序商店中可用，估计还需要一些时间进行处理。

KOI 提供了所有恶意扩展程序的 ID，有兴趣的用户可以在这里检查：https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/