880万用户数据遭插件窃取，潜伏超7年

内容：超880万用户因安装恶意浏览器插件泄露浏览记录。插件伪装为翻译、截图等工具，长期潜伏后通过更新植入数据窃取代码，甚至利用PNG隐写和会议助手窃取会议信息，影响Chrome等多款浏览器。建议用户精简插件、限制权限并警惕异常更新。

你装了多少个浏览器插件？

说真的，你一定想不到，有些你用了好几年、评分还特别高的良心工具，可能会在某一次更新后变身数据采集器。

界面没变，功能照用，但它开始偷偷收集你的浏览记录和会话信息，甚至盯上你在会议平台里打开过的内容。

最近一份安全调查让我后背发凉。

一个代号 DarkSpectre 的行动，被曝通过近 300 个看起来很正常，甚至很好用的浏览器插件，覆盖 Chrome、Edge、Firefox，长期潜伏，累计影响超过 880 万用户，而且潜伏时间长达 7 年。

最要命的是，它看起来太正常了。往往就是便捷下载、翻译、截图、会议助手这种常见工具插件。

这起行动并非单点作恶，而是三条战线并行推进：潜伏、投毒、会议数据窃取。尤其第二条，根本想不到。

战线一：长线潜伏 + 供应链更新投毒

这是规模最大、也最典型的一条。报告指出，它涉及 100+ 个插件，影响大约 560 万用户。

路径很清楚。

上架时先提供真功能，最常见的就是翻译、截图、清理加速这类工具插件。

这些插件实用、受众广，装机量和信任很快就能做起来。

随后它会长期保持正常，通常持续 3 到 5 年，评分和口碑都做起来了，有的还拿到商店侧 Featured/Verified 之类信任背书。更夸张的是，有的潜伏 5 年以上才动手。

真正的切换发生在一次更新中，全量用户被静默更新为具备采集与外传能力的版本。报告显示，部分插件采用延迟触发，在第 3 天才启用关键逻辑，以规避短期动态测试窗口。

后续阶段，它演化成一个 extension-contextRCE 框架，支持远程下发并执行任意 JavaScript。典型链路是插件在后台按固定节奏轮询 C2，常见频率是每小时一次 ，从类似 api.extensionplay[.]com 拉取 JS 载荷并在插件上下文执行。

外传数据采用固定 schema，payload 通常包含访问 URL、referrer、时间戳、持久化 UUID，以及指纹字段（UA、语言、时区、分辨率等）。数据打包后加密传输，披露信息提到 AES 加密，并指向类似 api.cleanmasters[.]store 的接收端点。

更值得关注的是 service worker 的能力边界。研究人员认为它具备向 Adversary-in-the-Middle 演进的潜力，可对页面脚本链路进行拦截篡改，覆盖凭证窃取、会话劫持、任意注入等更深层风险。

最后是持久化追踪。持久化 UUID 写入 chrome.storage.sync，多设备同步时标识会跟着走，重装也未必能切断身份与行为轨迹的关联。

战线二：PNG 隐写投递 + 多阶段加载

这条线抓住了商店审核的薄弱环节。主要落在 Firefox 与 Opera 生态，整体影响规模约 105 万用户，其中一个 Opera 插件安装量接近 100 万。

它最核心的手法，是把第一段恶意代码塞进几乎没人会审的地方：插件的图标 PNG。

插件启动时会读取自己的 logo.png，然后在 PNG 的原始字节里找标记，把图片数据末尾追加的内容当成 JavaScript。

对审计来说，这一步非常恶心，因为你去扫插件的脚本文件，可能根本看不到真正的载荷。

从图标里抠出来的并不是最终 payload，而是一个 loader。

loader 会回连到指定域名拉取下一阶段内容，但它故意把行为做得不稳定：两次回连之间会拉开 48 小时的间隔，而且即使到了回连时间，拉取 payload 的触发概率也只有 10%。

真正的 payload 负责变现与插件控制。公开披露里给出的能力包括劫持电商联盟链接、向页面注入追踪代码。

更关键的是，它会主动移除 HTTP 响应里的安全头，比如 Content-Security-Policy 与 X-Frame-Options，等于把浏览器的防护网拆掉一大块。随后再配合隐藏 iframe 注入，把流量导向攻击者控制的地址用于广告欺诈、点击欺诈，并进一步追踪。

这条战线的精髓不在某一个技巧有多新，而在分层叠加。

图标隐写让静态审查漏掉初始代码，分阶段拉取让恶意代码只在运行时出现，延迟与概率触发让动态分析很难稳定复现。

战线三：会议数据窃取

18 个伪装成企业会议助手的插件，覆盖 Chrome、Edge、Firefox，影响规模最高约 220 万用户。

它的切入点是权限。插件会一次性申请覆盖 28+ 会议与协作平台相关站点的 host permissions，然后在你打开 Zoom、Google Meet 等会议页面时注入 content script，直接从页面 DOM 抽取结构化字段。

典型数据包括会议 URL、内嵌密码、meeting ID、会议主题与描述、时间安排、报名或加入状态，有些还会抓取参与者相关信息。

外传这一步做得很干脆。它用 WebSocket 保持实时连接，把采集到的会议信息持续推到远端，并写入 Firebase 之类的云端存储，做成可检索的数据集。

这条战线核心就是信息收集。会议链接和密码本质上就是会议入口凭据，再叠加主题、时间、讲者与参与者画像，很容易还原团队在做什么项目、和谁合作、关键节点怎么推进，典型的企业情报数据。

实用建议

这起浏览器插件大规模中招事件，最可怕的点在于它利用了我们对工具的长期信任。

先用实用功能把口碑和装机量做起来，再用一次更新悄悄加上数据采集与外传能力，连会议页面里的信息也一并外传。

很多时候界面和功能都不变，异常藏在后台链路里，我们很难察觉信息正在泄漏。

浏览器插件本质上是常驻的高权限代码，怎么样才能尽量避开这类恶意插件呢？这里有几条实用建议。

1. 只装刚需。翻译、截图这类高频工具可以留，低频插件尽量删。插件越多，攻击面越大。
2. 权限最小化。能按需启用就别让它常驻权限，能只授权特定站点就别授权所有网站。
3. 对更新敏感。更新后突然要更多权限、出现不相关功能、开始跳转广告，优先卸载排查。
4. 定期体检。不常用的先禁用，优先处理权限范围大的插件，再决定留不留。

希望这期内容能对你有所帮助。

喜欢的话，记得点赞收藏转发，我们下期再见。