在思科Duo Security團隊和安全研究員賈米拉·卡亞（Jamila Kaya）兩個多月的深入調查之後，谷歌近日宣布從官方網上商城刪除500多個惡意Chrome擴展程序。據悉這些擴展程序都會在用戶瀏覽會話中註入惡意廣告（malvertising）。

這些擴展程序注入的惡意代碼會在特定條件下激活，並將用戶重定向到特定的頁面。在某些情況下，重定向地址可能是Macys，DELL或BestBuy等合法網站上的會員鏈接；而在其他情況下可能是惡意站點，例如惡意軟件的下載站點或者網絡釣魚頁面。

根據Duo Security團隊和Jamila Kaya分享的報告，這些惡意擴展程序上線至少有兩年時間了。這些惡意擴展最初是由Kaya發現的，她在例行的威脅掃描期間發現這些惡意擴展通過通用URL模式訪問惡意網站。

利用CRXcavator（一種用於分析Chrome擴展程序的服務），Kaya發現了最初的擴展程序集群，它們在幾乎相同的代碼庫上運行，但是使用了各種通用名稱，而鮮有關於其真實用途的信息。

Kaya告訴我們：“僅靠我個人，就確定了十幾個採用該共享模式的擴展程序。與Duo聯絡後，我們能夠使用CRXcavator的數據庫對其進行快速指紋識別，並發現整個網絡”。根據Duo的說法，首批擴展程序的安裝總數超過了170萬名Chrome用戶。

Kaya表示隨後我們將發現的結果反饋給了谷歌。隨後谷歌經過自查發現了更多符合這種模式的擴展程序，隨後刪除了500多個擴展程序。目前尚不清楚有多少用戶安裝了500多個惡意擴展，但數量可能超過數百萬。