一位安全研究人员最近发现了近三十个 Chrome 网上应用店扩展程序表现出可疑行为。许多扩展程序伪装成搜索助手，而另一些则伪装成广告拦截器、安全工具或扩展程序扫描器——所有这些扩展程序都神秘地链接到一个未使用的域名。

浏览器安全公司Secure Annex的创始人 John Tucker在协助一位安装了一个或多个用于安全监控的客户时发现了这些可疑的扩展程序。第一个危险信号是：在他分析的132 个扩展程序中，有两个未公开，这意味着它们不会出现在网络搜索或 Chrome 网上应用店中。用户只能通过直接 URL 下载这些工具。未公开的扩展程序并不少见。企业有时会使用它们来限制公众对内部工具的访问。

然而，恶意攻击者经常使用未列出的扩展程序来利用用户，使其隐藏起来，使Google难以发现。Tucker 开始分析这两个可疑扩展程序后，又发现了 33 个。许多扩展程序连接到相同的服务器，使用相同的代码模式，并请求相同的权限。

这些应用程序会请求用户同意访问敏感数据，包括浏览器标签页和窗口、Cookie、存储、脚本、警报和管理 API。这种访问级别异常高，使得不法分子能够轻易利用用户系统进行各种恶意攻击。

塔克周四在博客中写道：“目前，这些信息应该足以让任何组织合理地将其从环境中移除，因为它会带来不必要的风险。” 他在给 Ars Technica 的一封电子邮件中补充道：“这 35 款应用中唯一需要的权限就是管理权限。”

除了这些应用程序请求的权限数量可疑之外，它们的编程也同样令人担忧。塔克发现这些应用程序的代码被严重混淆。开发人员这样做只是为了让其他人难以检查和理解其行为。

这 35 款应用的用户总安装次数超过 400 万次。虽然尚不清楚这些未公开的扩展程序如何在未出现在搜索结果中的情况下引起如此多的关注，但 Tucker 指出，其中 10 款带有 Google 的“精选”标签——这一称号通常授予 Google 审查过并信任的开发者。他没有详细说明这可能如何影响这些扩展程序的分发。

塔克没有找到直接证据表明这些扩展程序会窃取数据，但这并不排除这种可能性。讽刺的是，一款名为“Fire Shield Extension Protection”的工具声称可以扫描 Chrome 浏览器，查找恶意或可疑插件。分析后，塔克发现了一个 JavaScript 文件，它可以从多个可疑域名（包括一个名为 unknow.com 的域名）上传数据并下载代码和指令。

这个域名之所以引人注目，是因为所有 35 个应用都在其后台服务进程中引用了它，尽管它没有任何可见的网络存在或明确的功能。Whois记录将其列为“可用”和“待售”，如此多的扩展程序指向它，显得尤为奇怪。

“有趣的是，这个域名与代码没有任何关联，但对于将所有扩展链接在一起却非常有用！”塔克说。

Secure Annex 在其博客和可公开访问的电子表格中发布了一份完整的扩展程序 ID 和永久哈希列表。上图显示了更简单的扩展程序名称列表。如果您安装了其中任何一个，Tucker 建议立即将其删除——安全风险远大于任何潜在的好处。