近期通过浏览器扩展程序传播恶意软件的情况日益严重，攻击者开始针对特定群体和数据实施攻击。例如，安全公司Koi Security披露的中国黑客组织DarkSpectre发起的Zoom Stealer攻击行动，意图窃取视频会议内容并收集敏感信息。如今，类似攻击已延伸至针对特定企业应用系统的用户。

安全公司Socket发现5个存在问题的Chrome扩展程序，攻击者专门针对使用企业人力资源（HR）与ERP系统的员工，目标平台包括Workday、NetSuite和SuccessFactors。攻击者声称这些扩展程序可简化多账号管理或提升工作效率，已吸引超过2,300名用户安装。但实际上，其真实目的是劫持上述企业系统的账户权限。这5款恶意扩展功能各异，部分用于窃取数据，部分用于规避安全检测。目前，Socket已向Google报告，并呼吁相关用户及企业IT人员立即采取应对措施。

针对此次发现的恶意扩展，Socket指出其涉及三种截然不同的攻击手法：向远程服务器泄露Cookie、操控DOM以屏蔽安全管理页面，以及采用双向Cookie注入技术，从而实现会话劫持。

这5款扩展的危害方式各不相同。其中，DataByCloud Access v1.6专门截取并发送身份验证Cookie；Tool Access 11 v1.4可阻止Workday系统中约44个安全管理页面，涵盖身份验证管理、安全策略配置、IP地址范围管理及会话控制界面；Data By Cloud 2 v3.3进一步扩大了封锁范围，覆盖56个安全管理页面，包括密码修改和双因素认证（2FA）管理页面。

第四个恶意扩展Data By Cloud 1 v3.2复制了DataByCloud Access的Cookie窃取机制，并集成特定代码库，以阻止企业通过浏览器开发者工具进行检测。最后一个扩展Software Access v1.4实现了Cookie窃取与双向操控机制，既能窃取凭证，又能接收被窃取的Cookie并注入浏览器，从而实现会话劫持。此外，攻击者还加入了密码字段保护机制，防止用户查看输入的登录凭证内容。

值得注意的是，为延长恶意扩展在受害设备上的存活时间，攻击者在其中设置了多种自我防护机制。这些扩展会检测用户是否安装了23种特定安全或开发工具（如EditThisCookie、Redux DevTools），并将检测结果回传给攻击者。部分扩展还集成了DisableDevtool库，一旦检测到用户开启浏览器开发者工具，便会自动关闭或干扰分析过程。