信息窃取器 Chrome 扩展程序

安全分析师发现了一款恶意谷歌Chrome浏览器扩展程序，该程序旨在从Meta Business环境中窃取敏感数据。这款名为CL Suite的扩展程序由@CLMasters开发，伪装成Meta Business Suite和Facebook Business Manager用户的效率工具。它被宣传为一款可以抓取业务数据、绕过验证提示并生成双因素身份验证（2FA）代码的实用工具，并于2025年3月1日上架Chrome网上应用商店。

尽管其隐私政策声称双因素认证密钥和商务管理平台数据仅限于本地环境，但技术分析揭示了截然不同的现实。该扩展程序请求对 meta.com 和 facebook.com 域名的广泛权限，并秘密地将敏感信息传输到攻击者控制的基础设施。

隐蔽数据窃取能力

该扩展程序会静默地从已认证的 Meta 会话中收集并导出高价值数据。泄露的信息会被发送到托管在 getauth[.]pro 上的后端服务器，并可选择将相同的有效载荷转发到威胁行为者运营的 Telegram 频道。

该扩展程序的数据采集功能全部包括：

• 用于保护 Meta 和 Facebook 企业帐户的 TOTP 种子和有效 2FA 代码被盗
• 提取业务管理器中的“人员”数据，并将其编译成包含姓名、电子邮件地址、分配的角色、权限级别和访问状态的 CSV 文件。
• 列出 Business Manager 实体和关联资产，包括广告帐户、关联页面、资产连接、计费配置和付款详情

虽然该插件不会直接捕获密码，但攻击者可以将窃取的基于时间的一次性密码与从信息窃取程序日志或泄露的数据库中获取的凭据结合起来，从而获得未经授权的帐户访问权限。

安全研究人员警告说，即使安装基础相对较小，收集到的情报也足以识别高价值的企业目标，并有助于后续攻击。

伪装成生产力的抓取

CL Suite 的案例表明，功能范围狭窄的浏览器扩展程序如何将恶意数据收集伪装成合法的流程增强功能。诸如联系人提取、分析数据收集、验证弹窗屏蔽和浏览器内双因素身份验证生成等功能并非中立的实用工具。相反，它们是专门设计的网络爬虫，旨在直接从已认证的 Meta 业务界面窃取联系人列表、元数据和身份验证信息。

通过将自身嵌入到受信任的工作流程中，此类扩展程序可以绕过用户的怀疑，并在活动会话的安全边界内运行。

AiFrame 活动：人工智能助手变身数据代理

在另一项名为 AiFrame 的联合行动中，研究人员发现了 32 款浏览器扩展程序，这些程序以人工智能助手的名义进行销售，功能包括摘要撰写、聊天、写作辅助和 Gmail 效率提升。这些插件的总安装量已超过 26 万次。

这些扩展程序虽然看起来合法，但实际上依赖于远程服务器驱动的架构。它们并非在本地处理数据，而是嵌入全屏 iframe 覆盖层，连接到域名 claude.tapnetic[.]pro。这种设计使得运营商无需通过 Chrome 网上应用店发布更新即可动态地引入新功能。

部署后，这些扩展程序充当浏览器和远程基础架构之间的特权中介。触发后，它们会检查当前活动标签页，并使用 Mozilla 的 Readability 库提取文章内容。其他功能包括启动语音识别并将捕获的文本转录发送到外部服务器。

部分扩展程序专门针对 Gmail。当用户访问 mail.google.com 并启用 AI 驱动的回复或摘要功能时，邮件中可见的内容会直接从文档对象模型 (DOM) 中提取，并传输到由运营商控制的第三方后端系统。因此，邮件内容和上下文元数据可能会在用户不知情的情况下，被传输到 Gmail 保护环境之外的远程服务器。

大规模扩展滥用和数据经纪

浏览器扩展程序的滥用并非仅限于个别案例。研究人员还发现，有 287 个 Chrome 扩展程序累计安装量达 3740 万次，约占全球 Chrome 用户总数的 1%，这些扩展程序会将用户的浏览历史记录泄露给数据经纪商。

此前的调查已经揭示了Similarweb和Alexa等公司如何汇总和利用收集到的浏览数据牟利。这些发现凸显了基于浏览器扩展的监控规模之大。

加强对恶意扩展程序的防御

鉴于威胁形势日益严峻，组织和个人用户都应采取规范的扩展管理措施。有效的防御措施包括：

• 仅从官方应用商店安装必要的、评价良好的扩展程序
• 定期审核已安装的扩展程序，以检测权限过高或异常行为。

浏览器扩展程序在受信任的会话中拥有很高的权限。如果没有严格的监管，它们可能成为数据泄露和凭证泄露的强大渠道。