一位独立的安全研究人员在Chrome Web Store中发现了18个Chrome扩展程序中的恶意代码。这些扩展总共拥有超过5700万活跃用户。更多的证据表明，Chrome扩展需要用批判的眼光来评估。

　　Chrome扩展是建立在Google Chrome之上的应用程序，允许你为浏览器添加额外的功能。这个可定制的功能可以做的任务范围很广，但一些流行的扩展可以自动填充你的密码，阻止广告，启用一键访问你的待办事项列表，或者改变一个社交媒体网站的外观。不幸的是，由于Chrome扩展功能强大，可以对你的浏览体验有很大的控制，它们是黑客和其他坏人的热门目标。

　　本月早些时候，独立安全研究员vladimir Palant在一个名为PDF工具箱的浏览器扩展中发现了代码，该扩展允许它向您访问的任何网站注入恶意Javascript代码。该扩展声称是一个基本的PDF处理器，可以做一些事情，比如将其他文档转换为PDF，将两个PDF合并为一个，以及从打开的选项卡下载PDF。

　　正是这最后一个特性使PDF工具箱为恶意打开了大门。谷歌要求扩展开发人员只使用必要的最低权限。为了从当前未激活的选项卡中下载PDF, PDF工具箱必须能够访问当前打开的每个网页。如果没有这个特性，它将无法以同样的程度伪合法地访问您的浏览器。

　　虽然PDF工具箱似乎可以完成它声称能够完成的所有PDF任务，但它也可以从外部网站下载并运行Javascript文件，该文件可以包含代码来做几乎任何事情，包括捕获您在浏览器中输入的所有内容，将您重定向到虚假网站，并控制您在网络上看到的内容。通过使恶意代码类似于合法的API调用，混淆它，使其难以遵循，并将恶意调用延迟24小时，PDF工具箱已经能够避免被谷歌从Chrome网络商店中删除，因为它最后一次更新是在2022年1月。(在撰写本文时，尽管Palant提交了一份关于其恶意代码的报告，但它仍然可以在那里使用。)

　　当帕兰特第一次发现PDF工具箱中的恶意代码时，他无法确认它的用途。然而昨天，他披露了另外17个浏览器扩展，这些扩展使用相同的技巧来下载和运行Javascript文件。其中包括Autoskip for Youtube, Crystal广告块，Brisk VPN，剪贴板助手，Maxi Refresher, Quick Translation, Easyview Reader视图，Zoom Plus，基本图像下载器，Clickish有趣的光标，Youtube的最大颜色改变器，Readl Reader模式，图像下载中心，字体自定义器，轻松撤销关闭的选项卡，OneCleaner和重复按钮，尽管很可能还有其他受感染的扩展。这些只是Palant在大约1000个扩展的样本中发现的。

　　除了发现更多受影响的扩展之外，Palant还能够确认恶意代码正在做什么(或者至少过去做过什么)。这些扩展将用户的谷歌搜索重定向到第三方搜索引擎，可能会收取一小笔附属费用。通过感染数百万用户，开发者可以获得可观的利润。

　　不幸的是，代码注入就是代码注入。仅仅因为恶意的Javascript在过去相当无害地将Google搜索重定向到其他搜索引擎，并不意味着它今天也这样做。帕兰特写道:“有了向每个网站注入任意Javascript代码的能力，人们可以做更危险的事情。”

　　这些都是什么危险的东西?嗯，扩展程序可能会收集浏览器数据，在用户访问的每个网页上添加额外的广告，甚至记录网上银行凭证和信用卡号码。恶意的Javascript在你的浏览器中未经检查的运行，可能会非常强大。

　　如果您的计算机上安装了一个受影响的扩展，您现在应该删除它。对您安装的所有其他扩展进行快速审计也是一个好主意，以确保您仍在使用它们，并且它们看起来都是合法的。如果没有，你也应该去掉它们。

　　否则，将此视为对潜在恶意软件始终保持警惕的提醒。要了解更多关于如何对抗它的提示，请查看我们关于从计算机中删除恶意软件的指南。