Chrome 商店高人气扩展暗藏间谍软件，超 10 万用户遭遇会话劫持

图片

01 事件曝光：高信任扩展突然变毒

你是否用过浏览器的取色器插件？小心！一款在 Chrome 商店拥有「官方认证徽章」、下载量超 10 万的热门扩展「Color Picker, Eyedropper — Geco colorpick」，竟在 6 月底的更新中被植入高级间谍软件！

安全公司 Koi Security 研究员 Idan Dardikman 揭露：这款原本用于网页设计的工具，如今会在用户访问新页面时劫持浏览器会话，偷偷将浏览记录发送至黑客服务器，甚至能按指令将用户重定向到恶意网站。

02 攻击手段：披着合法外衣的间谍

1. 官方背书下的信任陷阱

该扩展长期以「正规工具」形象存在，不仅获得 Chrome 商店「featured placement」推荐，还带有谷歌验证徽章，普通用户很难怀疑其安全性。

功能上仍保留完整的颜色拾取、截图取色、快捷键操作等实用功能，恶意行为完全隐藏在后台。

2. 隐秘的攻击流程

第一步

安装后激活恶意服务工作程序，静默监控所有标签页活动。

第二步

每次访问新网页时，自动将 URL 与追踪 ID 发送至黑客的 C2 服务器。

第三步

根据服务器指令，随时将用户重定向到钓鱼或恶意网站。

03 风险警示：为何这是重大威胁？

1. 信任机制被滥用 攻击者利用谷歌的验证体系和推荐算法，让高信任度扩展成为攻击载体，即使是「做过功课」的谨慎用户也可能中招。
2. 间谍行为持续且全面 不仅记录浏览历史，还维持持久的命令控制连接，相当于黑客在用户浏览器中安装了「永久监控器」。
3. 平台审核漏洞暴露 该恶意扩展在被举报后，截至发稿时仍未被 Chrome 商店下架，谷歌官方也未回应安全团队的通知。

04 紧急应对：三步清除风险已安装用户立即执行

1. 删除扩展

打开 Chrome「扩展程序」页面，找到该工具并彻底移除。 2. 清除数据

进入浏览器设置，删除缓存和 Cookie，重点清除追踪标识。 3. 全面扫描

运行杀毒软件（如 Windows Defender/Malwarebytes）进行系统扫描。

长期防护建议：

定期检查已安装扩展，重点关注「权限请求」和更新日志。

启用 Chrome 的「扩展程序安全检查」功能（设置→隐私和安全→安全→扩展程序安全检查）。

企业用户需部署扩展程序管理策略，阻止未经审核的插件安装。

05 浏览器安全何去何从？

这并非个例！去年 Spin.ai 研究显示：超 50% 的浏览器扩展存在高安全风险，Firefox、Edge 等平台同样面临威胁。随着 SaaS 服务普及，浏览器已成为企业安全的「新大门」。

安全专家提醒：即使是官方推荐的扩展，也应保持警惕。正如 Dardikman 所言：「每个扩展都可能在任何时刻变成恶意程序」，建立「最小权限原则」和定期审查机制，才是应对之道