偽造的 Google Docs 離線擴充功能

這款偽裝成 Google Docs Offline 的惡意瀏覽器外掛程式旨在偽裝成合法工具。它偽裝成受信任的 Google 服務，實際上是名為 GlassWorm 的大型網路攻擊活動的一部分。該插件並非由使用者直接安裝，而是由預先存在的惡意軟體透過惡意腳本悄悄注入瀏覽器。一旦安裝，它便會與合法的擴充功能混雜在一起，難以偵測。

透過連鎖攻擊進行無聲滲透

這種威脅透過複雜的鍊式攻擊傳播，利用已被入侵的平台，例如GitHub程式碼庫、npm 套件和瀏覽器擴充功能商店。 GlassWorm 背後的網路犯罪分子將惡意程式碼嵌入看似合法的軟體專案或更新中，使其看起來安全無害。

當使用者安裝或更新受感染的軟體時，隱藏程式碼會在背景激活，並將虛假擴充功能注入瀏覽器。在某些情況下，惡意軟體會透過與官方流程極為相似的欺騙性更新機制進行傳播，進一步增加感染成功的可能性。

全面瀏覽器監控和數據採集

一旦安裝，該偽造的瀏覽器擴充功能就會作為遠端管理木馬 (RAT) 運行，使攻擊者能夠廣泛控制瀏覽器活動。它能夠收集各種敏感訊息，包括：

• 鍵盤輸入，包括登入憑證和表單輸入
• 網站提供的 Cookie 和活動會話數據
• 活動瀏覽器標籤頁的完整程式碼
• 開啟頁面的螢幕截圖
• 剪貼簿內容和已儲存的書籤
• 瀏覽紀錄（最多 5000 筆記錄）
• 設備和瀏覽器詳細信息，包括硬體和 GPU/WebGL 數據
• 已安裝瀏覽器擴充功能的信息

所有收集到的資料都會被打包並傳送給網路犯罪分子，受害者往往不會察覺到任何異常。

對個人和企業安全造成嚴重後果

這款惡意擴充功能授予的存取權限等級極高，會使大量敏感資料面臨風險。私人電子郵件、訊息、文件和其他個人資訊都可能被洩露。金融活動尤其容易受到攻擊，包括網路銀行會話、付款詳情以及透過瀏覽器存取的加密貨幣帳戶。

攻擊者可以利用這些資料劫持帳戶、竊取資金、冒充用戶並實施其他惡意操作。如果安裝在工作設備上，其影響可能升級為全面的企業安全漏洞，進而危及內部系統和機密業務資料。

濫用瀏覽器管理控制

除了具備間諜功能外，該擴充功能還會篡改瀏覽器的「由您的組織管理」功能。通常情況下，此設定表示瀏覽器由官方管理員控制，例如在企業環境中。

透過濫用此功能，惡意軟體可以限制使用者控制權限，阻止標準移除方法，並限制對瀏覽器設定的存取。這種策略有助於惡意擴充功能保持持久性，並在較長時間內不被偵測到。

持續存在的高風險威脅

這款偽造的 Google Docs Offline 擴充功能構成嚴重的網路安全風險，因為它能夠偽裝自身、監控用戶活動並竊取高度敏感的資料。其隱藏的安裝方式和持久化機制使其尤其危險。

如果偵測到該擴充功能及任何相關的惡意元件，則必須立即刪除，以防止持續的資料竊取和潛在的長期損害。