在 Chrome 浏览器网络商店中，恶意浏览器扩展仍然是个问题，但近年来Google一直在积极努力，试图让 Chrome 浏览器用户的生活更安全。该公司经常删除其商店中的恶意扩展，现在已经删除了三个冒充 VPN 的危险附加组件。

ReasonLabs 公司的网络安全研究人员发现了这些假冒的 VPN 扩展程序，他们称这些恶意软件是通过热门视频游戏（如《侠盗猎车手》、《模拟人生 4》、《Heroes 3》和《刺客信条》）的下载分发的。据报道，这些特洛伊木马安装程序是 Electron 应用程序，大小在 60MB 到 100MB 之间，被发现存在于 1000 多个不同的 torrent 文件中。

一旦文件下载到电脑上，VPN 扩展程序就会自动安装到系统上，用户无需进行任何操作。据报道，安装程序还会检查受感染设备上的反恶意软件，然后强行安装至少三种假冒 VPN 扩展程序中的一种。这三个扩展中最受欢迎的是 netPlus，它拥有超过 100 万用户，另外两个是 netSave 和 netWin，它们的安装量也达到了 50 万次。

这些恶意扩展程序的开发者竭力将它们描绘成真实的，提供了一些实际的 VPN 功能以及付费订阅层级，让它们乍一看像是真的。然而，这三个扩展都滥用了"离屏"权限，使它们能够通过离屏 API 运行脚本，全面访问网页的当前 DOM（文档对象模型），从而窃取敏感的用户数据。

这些扩展程序还能劫持浏览器、操纵网络请求，甚至自动禁用其他扩展程序。根据报告，该恶意软件禁用了受感染计算机上的现金返还扩展，并将利润重定向给犯罪分子。据报道，该恶意软件针对的是 100 多个合法的现金返还扩展，包括 Avast SafePrice、AVG SafePrice、Honey： Automatic Coupons & Rewards、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper 和 Backlit。

在 ReasonLabs 联系Google之后，Google已经从 Chrome 浏览器网络商店中删除了所有这三个扩展，但在此之前，它们已经感染了大约 150 万台设备。虽然这些扩展已成为历史，但它们不可能是 Chrome 浏览器网络商店中的最后一批恶意软件，因此人们必须对自己设备上安装的内容保持警惕。

了解更多：

https://reasonlabs.com/research/the-cashback-extension-killer