安全研究人員Jamila Kaya每天都會檢查一些與線上數字威脅有關的內容，結果偶然發現了針對Google Chrome瀏覽器擴展程序的大型惡意軟件操作。此事引發了為期兩個月的調查，並導致谷歌清理了網上應用店的500多款擴展程序。遺憾的是，已經有超過170萬名Chrome用戶安裝了她發現的首批問題擴展。

資料圖（來自：Google，via BGR）

在新發布的報告中，其揭示了幕後是一場持續至少兩年、且相當活躍的大規模惡意軟件行為。

Jamila Kaya 在第一時間向思科Duo 安全團隊取得了聯繫，詢問了與Chrome 擴展程序相關的諸多問題。

結果發現這些擴展感染了瀏覽器，涉及某些較大型活動的部分數據洩露。

報告指出，這些擴展通常以’廣告即服務’的形式呈現。Jamila 發現它們是山寨插件網絡的一部分，且其擁有幾乎相同的功能。

通過合作，安全人員借助CRXcavator.io 對幾十款擴展進行了研究，最終在170 萬用戶中識別出了70 個與之匹配的模式，然後向谷歌匯報了相關問題。

Duo 團隊補充道：“別有居心者越來越多地披上了合法的外衣，以掩蓋其在互聯網上的惡意行為”。

被濫用最多的，就是廣告Cookie 的使用和其中的重定向。作為一種’惡意廣告’技術，其很難被外界所發現。

惡意廣告經常在其它程序中出現，且形式相當多樣，包括廣告欺詐、數據洩露、網絡釣魚、以及監視和利用。

在涉及廣告手機和欺詐的大多數惡意活動中，也經常能夠見到它的身影。

據悉，這些惡意擴展中的代碼，有時會將用戶重定向道百思買或梅西百貨等網站的返利鏈接、或者可能託管了惡意軟件的站點。

在將問題上報後，谷歌方面也給出了回應。該公司發言人稱，谷歌會在發現違反政策的問題時發出警告並採取行動。

此外，該公司還會定期執行發起掃描，以檢查擴展程序中是否包含類似的技術和代碼濫用。