【安全资讯】QuickLens Chrome扩展遭劫持，发动ClickFix攻击窃取加密货币

概要：

在数字化金融日益普及的今天，浏览器扩展程序的安全问题正成为网络犯罪的新温床。近期，一款名为“QuickLens - Search Screen with Google Lens”的Chrome扩展程序在易主后被恶意篡改，对全球数千名用户构成了严重威胁。该事件不仅揭示了供应链攻击的隐蔽性，更展现了针对加密货币资产的复杂攻击手法，凸显了软件分发渠道安全审计的紧迫性。

主要内容：

该扩展程序最初功能正常，拥有约7000名用户。2026年2月1日，其所有权在ExtensionHub平台变更。仅仅两周后，恶意版本5.8被推送更新。此版本新增了declarativeNetRequestWithHostAccess等关键权限，并包含一个rules.json文件，用于剥离所有访问页面的Content-Security-Policy等安全头部，从而为后续恶意脚本执行扫清障碍。

扩展程序会生成持久UUID，并通过Cloudflare端点对受害者进行指纹识别，随后每五分钟轮询一次位于api.extensionanalyticspro[.]top的命令与控制服务器以获取指令。攻击的核心是一种被称为“1x1 GIF像素onload技巧”的方法，在每次页面加载时执行从C2服务器获取的恶意JavaScript载荷。

攻击链包含多个阶段。首先，用户会遭遇虚假的“Google更新”弹窗，点击后触发ClickFix攻击，诱骗用户运行恶意代码。对于Windows用户，这会下载一个名为“googleupdate.exe”的恶意可执行文件。此外，专门的“agent”脚本会检测并窃取包括MetaMask、Coinbase Wallet在内的十余种主流加密货币钱包的活动数据和助记词，同时窃取登录凭证、支付信息等敏感表单数据。

此次事件导致用户加密货币资产面临直接窃取风险，浏览器存储的各类凭证也可能泄露。Google已将该扩展从商店下架并自动禁用。受影响用户需彻底移除扩展、进行全盘恶意软件扫描、重置所有浏览器保存的密码，并立即将加密资产转移至新钱包。