文章总结： Chrome应用商店的PhantomShuttle扩展伪装成代理工具，自2017年起劫持流量窃取数据。其修改代理设置，将高价值域名流量导向攻击者服务器，窃取凭证及令牌。恶意代码藏于jQuery库中。建议用户仅安装可信扩展并审查权限。 综合评分： 78 文章分类： 恶意软件,威胁情报,数据泄露

Chrome应用商店恶意扩展程序窃取用户敏感数据

胡金鱼

嘶吼专业版

2026年1月5日 14:01 北京

Chrome应用商店中两款名为“Phantom Shuttle”的扩展程序，正伪装成代理服务插件，暗中劫持用户网络流量并窃取敏感数据。

据研究人员报告显示，这两款插件仍在Chrome官方应用商店上架，且至少自2017年起便已活跃。

Phantom Shuttle的目标用户多为需要测试不同地区网络连通性的外贸从业者。两款插件由同一开发者发布，均以“可代理流量、测试网速”为宣传点，订阅价格在1.4至13.6美元之间。

Chrome 应用商店中的Phantom Shuttle

隐秘的数据窃取功能

Socket.dev研究人员指出，Phantom Shuttle会将用户所有网络流量路由至攻击者控制的代理服务器，且通过硬编码凭证实现访问——相关恶意代码被嵌入到合法的jQuery库中，以规避检测。

恶意代码采用自定义字符索引编码方案隐藏硬编码的代理凭证，并通过网络流量监听器，拦截所有网站的HTTP认证请求。为强制用户流量经由攻击者代理传输，该恶意插件会通过自动配置脚本，动态修改Chrome浏览器的代理设置。

在默认的“智能模式”下，插件会将170余个高价值域名的流量路由至代理网络，涵盖开发者平台、云服务控制台、社交媒体网站及成人内容门户等。本地网络与命令控制域名则被列入排除清单，以此避免攻击行为中断或被检测发现。

作为中间人，该插件可捕获各类表单数据（包括账户凭证、银行卡信息、密码、个人信息等），窃取HTTP头中的会话Cookie，并从请求中提取API令牌。

研究人员建议Chrome用户：仅信任知名开发者发布的扩展程序，安装前查看多方用户评价，并留意插件申请的权限范围，避免因恶意插件导致数据泄露。

参考及来源：https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《Chrome应用商店恶意扩展程序窃取用户敏感数据》