在思科Duo Security团队和安全研究员贾米拉·卡亚（Jamila Kaya）两个多月的深入调查之后，谷歌近日宣布从官方网上商城删除500多个恶意Chrome扩展程序。据悉这些扩展程序都会在用户浏览会话中注入恶意广告（malvertising）。

这些扩展程序注入的恶意代码会在特定条件下激活，并将用户重定向到特定的页面。在某些情况下，重定向地址可能是Macys，DELL或BestBuy等合法网站上的会员链接；而在其他情况下可能是恶意站点，例如恶意软件的下载站点或者 *** 钓鱼页面。

根据Duo Security团队和Jamila Kaya分享的报告，这些恶意扩展程序上线至少有两年时间了。这些恶意扩展最初是由Kaya发现的，她在例行的威胁扫描期间发现这些恶意扩展通过通用URL模式访问恶意网站。

利用CRXcavator（一种用于分析Chrome扩展程序的服务），Kaya发现了最初的扩展程序集群，它们在几乎相同的代码库上运行，但是使用了各种通用名称，而鲜有关于其真实用途的信息。

Kaya告诉我们：“仅靠我个人，就确定了十几个采用该共享模式的扩展程序。与Duo联络后，我们能够使用CRXcavator的数据库对其进行快速指纹识别，并发现整个 *** ”。根据Duo的说法，首批扩展程序的安装总数超过了170万名Chrome用户。

Kaya表示随后我们将发现的结果反馈给了谷歌。随后谷歌经过自查发现了更多符合这种模式的扩展程序，随后删除了500多个扩展程序。目前尚不清楚有多少用户安装了500多个恶意扩展，但数量可能超过数百万。

（稿源：cnBeta，封面源自 *** 。）