夜雨聆风
深扒这 5 款 Chrome 恶意插件:Cookie 劫持 + 锁死管理员权限,这招太阴了…
大家好,做我们这行的,浏览器里没装几十个插件都不好意思说自己是搞 IT 的。为了图方便,很多企业的 HR 或者 ERP 管理员也会装一些所谓的“提效工具”,用来辅助操作 Workday、NetSuite 这些笨重的企业系统。
但是,最近 Socket 安全团队爆出的一个猛料。
他们发现了 5 款伪装成企业 ERP 辅助工具的 Chrome 恶意插件。这帮黑客不仅仅是简单的“偷数据”,他们还搞出了一套“防反杀”机制。
今天,我就带大家从技术角度扒一扒,这套攻击连招到底有多骚。
01 “披着羊皮的狼”:谁在中招?
这次被点名的插件主要针对的是 Workday(人力资源管理)和 NetSuite(ERP系统)的用户。
黑客非常狡猾,他们把插件包装成“生产力工具”,承诺提供高级功能。虽然目前这些插件大部分已从 Chrome 商店下架,但在 Softonic 等第三方下载站依然能找到。
⚠️ 高危预警:请立刻自查
如果你的浏览器里有以下任何一个 ID,请马上卸载:
- DataByCloud Access
(ID: oldhjammhkghhahhhdcifmmlefibciph) - Tool Access 11
(ID: ijapakghdgckgblfgjobhcfglebbkebf) - DataByCloud 1
(ID: mbjjeombjeklkbndcjgmfcdhfbjngcam) - DataByCloud 2
(ID: makdmacamkifdldldlelollkkjnoiedg) - Software Access
(ID: bmodapcihjhklpogdpblefpepjolaoij)
其中 DataByCloud 1 和 2 甚至潜伏了快三年(2021年发布),安装量数千。可见这是一场精心策划的长期潜伏。
02 技术拆解:这不仅仅是窃取 Cookie
如果只是偷 Cookie,那这也就是个入门级的脚本小子。但这波攻击的技术含量是他们在持久化和对抗防御上的技术实现。
第一招:全自动化的 Session 劫持循环
最强的那个插件叫 Software Access,它的逻辑非常闭环:
- 监听与窃取:
利用 chrome.cookiesAPI,它会疯狂请求 Workday、SuccessFactors 等域名的 Cookie 权限。 - 数据外传:
每 60 秒一次心跳,将捕获的身份验证 Token 发送到 api.databycloud[.]com等 C2(命令与控制)服务器。 - 逆向注入(亮点):
它不仅“读”,还能“写”。它可以从黑客的服务器接收 payloads,先清除受害者浏览器中现有的 Cookie,然后利用 chrome.cookies.set()方法,将黑客指定的 Cookie 强行注入。
这意味着什么? 黑客可以直接把他们的“身份状态”同步到受害者的浏览器里,或者把受害者的权限瞬间同步给自己。这实现了真正意义上的 Session Hijacking(会话劫持)。
第二招:DOM 操控实现的“降维打击”
这是最骚的一步。
通常,当管理员发现账号异常时,第一反应是去后台改密码、看日志、踢设备。黑客也想到了这一点,所以他们开发了针对管理页面的“致盲”功能。
插件 Tool Access 11 和 Data By Cloud 2 会实时监控浏览器的 Tab 标题。它们维护了一份长达 56 个关键页面的清单,包括:
密码修改页面、账户停用页面、2FA 设备管理、安全审计日志、IP 范围管理…
一旦检测到你在访问这些页面,插件会直接操作 DOM 树(Document Object Model)。
它不是简单的拦截请求,而是直接擦除页面的 HTML 内容(erase page content),或者把你重定向到一个错误的 URL。
试想一下这个场景: 你发现被黑了,急得满头大汗想去改密码或者看日志,结果点击任何管理按钮,页面都是一片空白或者报错。这种“叫天不应,叫地不灵”的感觉,就是因为恶意代码在本地浏览器层面劫持了渲染过程。
第三招:反侦察与自我保护
这帮人绝对是懂开发的。为了防止被懂行的工程师(比如在座的各位)抓包分析,他们做了两手准备:
- 屏蔽开发者工具:
引入了开源库 DisableDevtool。如果你试图按 F12 或者右键“检查元素”去查看它的代码,它是会阻止你调用的。 - 环境嗅探:
这 5 个插件都内置了一份包含 23 个安全类插件的“黑名单”,比如 EditThisCookie、ModHeader、Redux DevTools等。一旦发现这些工具,它们就会保持静默,隐藏恶意行为。
03 为什么这很危险?
Socket 的研究员说得非常在理:
“持续的凭证窃取 + 管理界面的阻断 + 会话劫持,这三者结合创造了一种场景:安全团队能检测到入侵,但无法通过常规渠道进行补救。”
这就是典型的降维打击。我们在服务器端做再多的 WAF 防御,由于攻击发起的源头是在受信任的内部员工浏览器里,而且利用的是合法的 API 调用(毕竟用户自己点的“允许权限”),传统的边界防御几乎失效。
04 作为一个 IT 人,我们该怎么办?
看完这个案例,咱们得吸取点教训:
1. 权限最小化原则(针对自己): 别看到弹窗要权限就点 Allow。一个做表格的插件为什么要 declarativeNetRequest 或者 cookies 的读写权限?这就是报警信号。
2. 网络层的监控: 检查一下公司的流量日志,看看有没有去往 api.databycloud[.]com 或者 software-access[.]com 的异常流量。
3. 应急响应流程: 如果真的遇到管理后台打不开的情况,第一时间换浏览器,或者用无痕模式(禁用所有插件)登录。不要在染毒的环境里和黑客博弈。
最后,转发给你们公司的 HR 和财务小姐姐吧。告诉她们,那些所谓的“破解版”、“高级功能”插件,免费的往往才是最贵的。
觉得文章有料?
点赞 + 在看,转发 👋
