因为使用这些浏览器扩展，230万 Chrome和Edge用户被劫持

Koi Security研究人员称，一个拥有超过10万次下载量、显示Google验证徽章的Chrome和Edge扩展有危险。虽然其宣称提供颜色选择器功能，也确实做到了这一点：它为用户提供了一个颜色选取工具。但不幸的是，该扩展还会劫持每一次浏览器会话，跟踪用户在各个网站上的活动，并对受害者的网络浏览器进行后门攻击。

颜色选择器允许用户从网页中选取任何颜色，并将其复制到剪贴板以便日后使用——对于设计应用程序、网站等用途非常有帮助。这款由Geco开发的扩展在发稿时仍可通过微软和谷歌各自的商店下载。

在Chrome网上应用店中，Geco扩展拥有超过800条用户评论，评分为4.2星（满分为5星），并被列为“精选”推荐。微软的Edge插件商店上，其1000多名用户也给出了类似的积极评价，看起来像是一个完全安全的扩展。

Koi Security分析师伊丹·达迪克曼（Idan Dardikman）在周二的一篇博客中表示：“这并不是那种周末随便拼凑出来的明显诈骗扩展。这是一个精心打造的特洛伊木马。”

根据Koi Security的说法，Geco的颜色选择器只是冰山一角，它属于一个更大的浏览器劫持活动，代号为RedDirection。该活动涉及18个恶意扩展，覆盖Chrome和Edge商店，所有这些扩展都具备相同的窥探能力。本文末尾列出了全部18个扩展名称。

Dardikman写道：“综合来看，这18个扩展已经感染了超过230万名使用这两种浏览器的用户，成为我们记录过的最大的浏览器劫持行动之一。”

这些扩展提供了各种各样的功能：表情符号键盘、天气预报、视频播放速度控制器、用于Discord和TikTok的VPN代理、深色主题、音量增强器以及YouTube解除封锁工具（如果你的雇主、学校或政府屏蔽了这个流行的视频网站，这类工具就很有用）。然而，除了提供这些合法功能之外，它们还秘密监控用户的网络浏览活动，捕获访问的URL，并将这些信息连同受害者唯一的追踪ID发送至远程攻击者控制的服务器，甚至可以根据指令重定向用户的浏览器。

更狡猾的是——也是它能获得Google认证徽章的原因之一——这些扩展一开始并没有内置恶意软件。

达迪克曼表示，这些扩展最初的代码是干净的，有时甚至多年保持无恶意状态，直到后来通过版本更新才引入恶意内容。“由于谷歌和微软处理浏览器扩展更新的方式，这些恶意版本在两个平台上自动静默安装到了超过230万名用户设备上，而其中大多数人从未点击过任何东西。”