警告：广受欢迎的“The Great Suspender”Chrome Extension包含恶意软件

谷歌周四删除了大吊带这是一个广受欢迎的Chrome扩展，数百万用户使用它从Chrome网络商店下载恶意软件。它还采取了不同寻常的步骤，从用户的电脑上停用它。

谷歌（Google）在一份简短的通知中写道：“此扩展包含恶意软件”，但后来发现，该插件偷偷添加了一些功能，可以利用这些功能从远程服务器执行任意代码，包括在线跟踪用户和进行广告欺诈。

Calum McConnell在GitHub的一篇帖子中说：“老维护者似乎已经将该扩展出售给了未知方，这些方有恶意意图利用该扩展的用户进行广告欺诈、跟踪等活动。”。

该扩展在被禁用之前安装了200多万次，将暂停未使用的选项卡，用一个空白的灰色屏幕替换它们，直到它们返回到相关选项卡时被重新加载。

自去年11月以来，该扩展的可疑行为一直存在，导致微软去年11月在Edge浏览器上屏蔽了该扩展（v7.1.8）。

根据注册记录，该扩展的原始开发者迪安·奥麦克（Dean Oemcke）据说在2020年6月将该扩展出售给了一家未知实体，随后通过Chrome网络商店（7.1.8和7.1.9）向用户直接发布了两个新版本。

该扩展的用户可以使用此处的解决方案恢复选项卡，或者也可以通过启用Chrome开发者模式使用GitHub（v7.1.6）上提供的最新版本。

但正如安全研究员博扬·兹德尼亚（Bojan Zdrnja）所揭示的那样，开启开发者模式也可能产生其他后果。他披露了一种新方法，让威胁参与者滥用Chrome sync功能绕过防火墙，并建立与攻击者控制的服务器的连接，以进行数据外泄。

Zdrnja说，对手创建了一个伪装成Forcepoint Endpoint Chrome Extension for Windows的恶意安全插件，在启用开发者模式后，该插件直接安装在浏览器上。

Zdrnja说：“虽然在数据大小和请求量方面存在一些限制，但这实际上非常适合C&C命令（通常较小），或者用于窃取较小但敏感的数据–；，例如身份验证令牌。”。

但鉴于此次攻击需要物理访问目标系统，谷歌不太可能解决这一问题。