(SeaPRwire) –   PALO ALTO, Calif., March 05, 2025 — 随着最近的攻击披露，例如  和扩展信息窃取器，浏览器扩展已成为许多组织的主要安全问题。SquareX的研究团队发现了一种新型恶意扩展，它可以模仿受害者浏览器上安装的任何扩展，包括密码管理器和加密钱包。这些恶意扩展可以变形，使其具有与合法扩展完全相同的用户界面、图标和文本，从而使受害者输入其凭据和其他敏感信息的情况极具说服力。这种攻击影响了包括 Chrome 和 Edge 在内的大多数主要浏览器。

多态扩展的工作原理是利用大多数用户通过浏览器工具栏中固定的图标与扩展进行交互这一事实。攻击始于用户安装恶意扩展，该扩展伪装自己，例如，伪装成一个不起眼的 AI 工具。为了使攻击更具说服力，该扩展按广告宣传的那样执行 AI 功能，并在预定的时间内保持良性。

但是，在此期间，恶意扩展开始 выяснять 受害者的浏览器中安装了哪些其他扩展。一旦确定，多态扩展会完全改变其外观，使其看起来像目标，包括固定工具栏上显示的图标。它甚至可以暂时禁用目标扩展，将其从固定栏中删除。鉴于大多数用户使用这些图标作为视觉确认来告知他们正在与哪个扩展进行交互，因此更改图标本身可能足以说服普通用户他们正在点击合法扩展。即使受害者导航到扩展仪表板，也没有明显的方法将此处显示的工具与固定的图标相关联。为了避免怀疑，恶意扩展甚至可以暂时禁用目标扩展，以便它们是唯一在固定选项卡上具有目标图标的扩展。

至关重要的是，多态扩展可以模仿任何浏览器扩展。例如，它可以模仿流行的密码管理器，诱骗受害者输入其主密码。然后，攻击者可以使用此密码登录到真正的密码管理器并访问密码库中存储的所有凭据。同样，多态扩展也可以模仿流行的加密钱包，使他们可以使用被盗的凭据来授权交易，以将加密货币发送给攻击者。其他潜在目标包括开发人员工具和银行扩展，这些扩展可能会使攻击者未经授权地访问存储敏感数据或金融资产的应用程序。

此外，根据 Chrome Store 的分类，该攻击仅需要中等风险的权限。具有讽刺意味的是，密码管理器本身以及其他流行的工具（如广告拦截器和页面样式器）也使用了许多这些权限，因此 Chrome Store 和安全团队仅通过查看扩展的代码就很难识别恶意意图。

SquareX 的创始人 警告说：“浏览器扩展程序给今天的企业和用户带来了重大风险。不幸的是，大多数组织都无法审核他们当前的扩展程序，也无法检查它们是否是恶意的。这进一步强调了对浏览器原生安全解决方案（如 Browser Detection and Response）的需求，类似于 EDR 对操作系统的作用。”

这些多态扩展利用 Chrome 中的现有功能来发起攻击。因此，不涉及软件漏洞，也无法修补。SquareX 已致函 Chrome 进行负责任的披露，建议禁止或实施用户警报，以应对任何扩展图标更改或 HTML 的突然更改，因为攻击者可以轻松地利用这些技术来模拟多态攻击中的其他扩展。对于企业而言，静态扩展分析和基于权限的策略已不再足够 – 至关重要的是，要有一种浏览器原生安全工具，该工具可以在运行时动态分析扩展行为，包括恶意扩展的多态倾向。

有关多态扩展的更多信息，请访问 获取此研究的其他发现。

关于 SquareX
帮助组织实时检测、缓解和威胁狩猎针对其用户发生的客户端 Web 攻击，包括防御恶意扩展。除了多态攻击之外，SquareX 还是第一个发现和披露多个基于扩展的攻击的公司，包括 Browser Syncjacking、导致 Cyber​​haven 违规的 Chrome Store 同意网络钓鱼攻击以及 DEF CON 32 上披露的许多其他符合 MV3 标准的恶意扩展。

SquareX 行业首创的 Browser Detection and Response (BDR) 解决方案采用以攻击为中心的方法来保护浏览器安全，确保企业用户免受高级威胁的侵害，例如恶意二维码、浏览器中的浏览器网络钓鱼、基于宏的恶意软件和其他 Web 攻击，包括恶意文件、网站、脚本和受感染的网络。

此外，借助 SquareX，企业可以为承包商和远程工作人员提供对内部应用程序、企业 SaaS 的安全访问，并将 BYOD/非托管设备上的浏览器转换为受信任的浏览会话。

联系方式

公关负责人
Junice Liew
SquareX
junice@sqrx.com

本公告随附的照片可在 获取。