警惕这类Chrome扩展：伪装生产力工具劫持企业会话

时间：2026-01-19 13:49

通过入侵员工日常使用的工具，攻击者能绕过边界防御，直接获取敏感的HR和ERP数据。建议企业立即审查浏览器扩展管理策略，并排查是否安装了已识别的恶意插件。 Socket威胁研究团队发现了一个针对企业环

攻击者通过入侵员工日常使用的浏览器扩展工具，能够绕过企业的边界防御系统，直接窃取敏感的HR和ERP数据。我们建议企业立即审查浏览器扩展管理策略，排查是否安装了已知的恶意插件。

Socket安全研究团队近期发现了一场针对企业环境的新型复杂攻击活动。五款伪装成Workday、NetSuite和SAP SuccessFactors等主流生产力工具的恶意Chrome扩展，被发现用于窃取用户身份凭证并劫持其会话。

这些名为DataByCloud Access、Data By Cloud 1、Data By Cloud 2、Tool Access 11和Software Access的恶意扩展，累计影响的用户已超过2300名。虽然它们声称能优化工作流程并提供“高级工具”，但实际功能却是渗透企业网络并破坏安全响应机制。

攻击者为其恶意软件披上了专业且合法的伪装。这些扩展不仅拥有精致的仪表盘界面，申请的权限也看似常规，不会立即触发安全警报。

DataByCloud 2扩展界面

“这些扩展以提升企业平台访问效率的生产力工具自居…主要针对需要跨多账户操作或追求更快工作流的用户。”

然而在这层伪装之下，是一个组织严密的恶意软件行动。Socket的分析显示，这些工具共享相同的代码结构、API端点和安全工具检测列表，表明它们出自同一威胁行为者之手。

三重攻击技术组合

该攻击活动采用三种恶意技术组合来入侵账户并维持控制：

Cookie窃取：扩展程序持续窃取会话令牌。例如DataByCloud Access会提取名为 _session的cookie，并每60秒将其传输到命令控制（C2）服务器。“这确保即使用户在正常工作流程中登出再登录，攻击者仍能持有有效令牌。” 会话劫持：Software Access扩展通过双向cookie注入技术将窃取行为升级。它从攻击者服务器获取被盗凭证，并直接注入受害者浏览器，使攻击者能绕过多因素认证（MFA）。“Software Access的双向注入完全消除了认证要求，攻击者无需密码即可访问被入侵账户。” 阻断应急响应：最具隐蔽性的功能是使安全团队“失明”。Data By Cloud 2和Tool Access 11等扩展会主动监控并阻断对关键管理页面的访问。“这些阻断扩展制造了安全控制失效场景。安全团队虽能发现可疑活动…但所有标准处置操作均被阻断。”

被阻断的页面包括密码修改表单、双因素认证设备管理界面和安全审计日志。当管理员尝试访问这些页面时，扩展会立即清空内容并重定向，实质上将防御者锁死在控制面板之外。