伪造的 Google Docs 离线扩展程序

这款伪装成 Google Docs Offline 的恶意浏览器插件旨在伪装成合法工具。它伪装成受信任的 Google 服务，实际上是名为 GlassWorm 的大型网络攻击活动的一部分。该插件并非由用户直接安装，而是由预先存在的恶意软件通过恶意脚本悄悄注入浏览器。一旦安装，它便会与合法的扩展程序混杂在一起，难以检测。

通过连锁攻击进行无声渗透

这种威胁通过复杂的链式攻击传播，利用已被入侵的平台，例如GitHub代码库、npm 包和浏览器扩展程序商店。GlassWorm 背后的网络犯罪分子将恶意代码嵌入看似合法的软件项目或更新中，使其看起来安全无害。

当用户安装或更新受感染的软件时，隐藏代码会在后台激活，并将虚假扩展程序注入浏览器。在某些情况下，恶意软件会通过与官方流程极为相似的欺骗性更新机制进行传播，从而进一步增加感染成功的可能性。

全面浏览器监控和数据采集

一旦安装，该伪造的浏览器扩展程序就会作为远程管理木马 (RAT) 运行，使攻击者能够广泛控制浏览器活动。它能够收集各种敏感信息，包括：

• 键盘输入，包括登录凭据和表单输入
• 网站提供的 Cookie 和活动会话数据
• 活动浏览器标签页的完整代码
• 打开页面的屏幕截图
• 剪贴板内容和已保存的书签
• 浏览历史记录（最多 5000 条记录）
• 设备和浏览器详细信息，包括硬件和 GPU/WebGL 数据
• 已安装浏览器扩展程序的信息

所有收集到的数据都会被打包并传输给网络犯罪分子，受害者往往不会察觉到任何异常。

对个人和企业安全造成严重后果

这款恶意扩展程序授予的访问权限级别极高，会使大量敏感数据面临风险。私人电子邮件、消息、文档和其他个人信息都可能被泄露。金融活动尤其容易受到攻击，包括网上银行会话、支付详情以及通过浏览器访问的加密货币账户。

攻击者可以利用这些数据劫持账户、窃取资金、冒充用户并实施其他恶意操作。如果安装在工作设备上，其影响可能升级为全面的企业安全漏洞，进而危及内部系统和机密业务数据。

滥用浏览器管理控制

除了具备间谍功能外，该扩展程序还会篡改浏览器的“由您的组织管理”功能。通常情况下，此设置表示浏览器由官方管理员控制，例如在企业环境中。

通过滥用此功能，恶意软件可以限制用户控制权限，阻止标准移除方法，并限制对浏览器设置的访问。这种策略有助于恶意扩展程序保持持久性，并在较长时间内不被检测到。

持续存在的高风险威胁

这款伪造的 Google Docs Offline 扩展程序构成严重的网络安全风险，因为它能够伪装自身、监控用户活动并窃取高度敏感的数据。其隐蔽的安装方式和持久化机制使其尤其危险。

如果检测到该扩展程序及任何相关的恶意组件，必须立即将其删除，以防止持续的数据窃取和潜在的长期损害。