过往骇客打造恶意浏览器套件从事攻击行动的情况，不少是架设钓鱼网站来引诱使用者安装，但如今有人成功将这类恶意软件放上浏览器开发商的延伸套件市集，使得这种安装来源的信任机制受到挑战。

例如，最近资安业者Koi Security揭露同时针对Chrome与Edge用户而来的攻击行动RedDirection，就是这样的例子。因为浏览器的延伸套件市集Chrome Web Store、Microsoft Edge Addons，竟然存在18个恶意套件，总共感染超过230万个用户。这些套件伪装成常见的生产力及娱乐工具，涵盖Emoji符号键盘、天气预报、影片速度控制器、音量放大工具、供Discord或抖音（TikTok）使用的VPN代理服务器、YouTube解锁工具等，所有的套件都具备开发者宣称的功能，但同时也监控浏览器活动并挟持部分功能。

值得留意的是，其中部分延伸套件甚至取得市集通过验证的状态，甚至被列为精选套件。根据Koi Security公司的调查，所有的套件都是使用独立的C2子网域，看起来好像由不同的人马经营，但实际上都是源自相同的攻击基础设施。

再者，这些延伸套件并非一开始上架就带有恶意内容，而是在特定版本更新引入有问题的功能，在导入恶意功能之前，它们的程序码基础（Codebase）相当乾净，有的已经上架多年，后续才被用于攻击。

究竟这些套件有那些恶意行为？套件会挟持每个分页的更新内容，截取使用者正在浏览的网页URL，并传送到远端的服务器，再从C2取得重新导向的网址。

Koi Security也提及可能会出现的攻击情境，其中一种是使用者收到Zoom会议邀请，并点选连结，此时恶意套件就可能从中拦截，在用户参与会议之前重新导向特定网站，要求下载重要的Zoom更新，才能正常参与会议。但若是使用者照做，就会在电脑植入其他恶意软件，使得攻击者能进一步控制受害电脑。

但这类攻击行动，并非只针对Chromium为基础打造的浏览器而来。一週前，Koi Security发现锁定Firefox用户的攻击行动FoxyWallet，骇客于Firefox Browser Add-ons市集上架45款有问题的套件（附加元件），它们假冒成常见的加密货币钱包工具，一旦使用者不慎安装，恶意套件就会无声无息地挖掘与钱包有关的机敏资讯，导致用户蒙受损失。