資安業者揭露Chrome Web Store上共用同一C2基礎設施的108款惡意擴充程式

此次揭露的擴充程式涵蓋Telegram擴充工具、影音播放器、翻譯服務及各類小遊戲等常見應用，安裝後仍可正常運作，降低使用者警覺。但實際上會在背景透過OAuth機制擷取Google帳戶的電子郵件、名稱與唯一識別碼（sub），並持續蒐集瀏覽行為資料。

還有部分擴充程式更具備帳號接管能力，例如可每15秒竊取Telegram Web登入Session，讓攻擊者在不需密碼或雙重驗證的情況下直接存取帳號內容。此外，部分外掛內建後門機制，會在瀏覽器啟動時連線至遠端伺服器並接收指令，甚至可開啟任意網頁或動態注入內容。

根據統計，有54個擴充程式可透過OAuth2竊取Google帳戶身分；有45個含有通用後門，以於瀏覽器啟動時開啟任意網址；另有1個擴充程式會持續竊取Telegram登入Session。不過，這108個擴充程式總計的下載量大約只有2萬。

研究發現，這些擴充程式雖然是由5個不同的開發者所發行，但它們的C2伺服器都位於同一個IP位址，也都使用同一網域，而且不管是程式碼結構、後門機制與回傳機制都高度一致，可能為同一操作者所控制。