1. 墨知首页
  2. 漏洞

Chrome拓展 Video Speed Controller 等内嵌恶意后门

漏洞
目录 隐藏
1 【高危】Chrome拓展 Video Speed Controller 等内嵌恶意后门
1.1 漏洞描述
1.2 影响范围
1.3 参考链接
1.4 安全处理建议
1.5 一键自动排查全公司此类风险
1.6 关于本次投毒的分析

【高危】Chrome拓展 Video Speed Controller 等内嵌恶意后门

漏洞描述

当用户安装受影响版本的 Video Speed Controller 等Chrome拓展会窃取用户的浏览链接,并与攻击者可控的C2地址建立持久化连接,攻击者可将用户浏览器重定向到恶意网站。

MPS编号 MPS-nk5f-xi4w
处置建议 强烈建议修复
发现时间 2025-07-09
投毒仓库 chrome
投毒类型 隐私数据收集、后门文件
利用成本
利用可能性

影响范围

影响组件 受影响的版本 最小修复版本
eckokfcjbjbgjifpcbdmengnabecdakp (-∞, 1.0.11]
eokjikchkppnkdipbiggnmlkahcdkikp (-∞, 1.0.12]
mgbhdehiapbjamfgekfpebmhmnmcmemg (-∞, 1.0.8]
cbajickflblmpjodnjoldpiicfmecmif (-∞, 0.1.16]
kgmeffmlnkfnjpgmdndccklfigfhajen [0.1.6.6, 0.1.6.6]
mlgbkfnjdmaoldgagamcnommbbnhfnhf (-∞, 0.2.6]
gaiceihehajjahakcglkhmdbbdclbnlf (-∞, 1.0.12]
pdbfcnhlobhoahcamoefbfodpmklgmjm (-∞, 1.2.13]

参考链接

https://www.oscs1024.com/hd/MPS-nk5f-xi4w

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  5. 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  6. 使用npm audit、yarn audit定期检查依赖漏洞。
  7. 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  8. 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/apply?code=93XQ

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:eckokfcjbjbgjifpcbdmengnabecdakp@(-∞, 1.0.11]
  • 攻击目标:Chrome浏览器用户

  • 理由:安装后窃取浏览链接,建立C2连接,可重定向至恶意网站,危害用户安全。

  • 包名:eokjikchkppnkdipbiggnmlkahcdkikp@(-∞, 1.0.12]

  • 攻击目标:Chrome浏览器用户

  • 理由:恶意后门窃取浏览数据,持久化C2连接,致用户被重定向到恶意网站。

  • 包名:mgbhdehiapbjamfgekfpebmhmnmcmemg@(-∞, 1.0.8]

  • 攻击目标:Chrome浏览器用户

  • 理由:含窃取浏览链接后门,与攻击者C2通信,可强制重定向用户浏览器。

  • 包名:cbajickflblmpjodnjoldpiicfmecmif@(-∞, 0.1.16]

  • 攻击目标:Chrome浏览器用户

  • 理由:安装后窃取用户浏览信息,建立持久C2连接,面临恶意网站重定向风险。

  • 包名:kgmeffmlnkfnjpgmdndccklfigfhajen@[0.1.6.6, 0.1.6.6]

  • 攻击目标:Chrome浏览器用户

  • 理由:特定版本含后门,窃取浏览链接并连C2,攻击者可控制浏览器重定向。

  • 包名:mlgbkfnjdmaoldgagamcnommbbnhfnhf@(-∞, 0.2.6]

  • 攻击目标:Chrome浏览器用户

  • 理由:恶意扩展窃取浏览数据,通过C2持久化控制,致用户被导向恶意站点。

  • 包名:gaiceihehajjahakcglkhmdbbdclbnlf@(-∞, 1.0.12]

  • 攻击目标:Chrome浏览器用户

  • 理由:含窃取浏览链接功能,与攻击者C2建立连接,存在恶意重定向风险。

  • 包名:pdbfcnhlobhoahcamoefbfodpmklgmjm@(-∞, 1.2.13]

  • 攻击目标:Chrome浏览器用户
  • 理由:安装后执行后门,窃取浏览信息并连C2,攻击者可操控浏览器重定向。
(0)
上一篇 2025年7月10日 上午1:06
下一篇 2025年7月11日 上午12:24

相关推荐

  • 瑞友天翼应用虚拟化系统<7.0.5.1远程代码执行漏洞 (MPS-q9y0-w78m)

    漏洞类型 代码注入 发现时间 2024-05-06 漏洞等级 严重 MPS编号 MPS-q9y0-w78m CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 受影响版本中由于SQL注入漏洞,默认未通过secure_file_priv配置限…

    漏洞 2024年5月8日
    0
  • GitLab CE/EE 公共组的名称或路径可被更改 ( CVE-2023-3484) 漏洞

    GitLab CE/EE 公共组的名称或路径可被更改 ( CVE-2023-3484)

    漏洞类型 访问控制不当 发现时间 2023/7/6 漏洞等级 高危 MPS编号 MPS-93os-eldn CVE编号 CVE-2023-3484 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是一款基于Git的代码托管、版本控制、协作开发平台。在 GitLab CE/EE 12.8 至 15.11.11 版本、16.0 至 16.0.7 版本以…

    2023年9月1日
    0
  • OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047) 漏洞

    OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047)

    漏洞类型 模板注入 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-ftvy-n7x2 CVE编号 CVE-2023-41047 漏洞影响广度 一般 漏洞危害 OSCS 描述 OctoPrint是一个开源的3D打印机管理和控制软件,提供用户界面以监控和控制3D打印过程,支持远程访问和插件扩展。 在OctoPrint受影响的版本中,允许恶意…

    2023年10月10日
    0

  • Laravel框架中“cookie”会话驱动程序存在RCE (MPS-2zns-0ulj)

    漏洞类型 代码注入 发现时间 2024-05-16 漏洞等级 严重 MPS编号 MPS-2zns-0ulj CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 Laravel是Laravel社区的一个Web 应用程序框架。 受影响版本中,当应用程序使用“cookie”会话驱动的并且暴露了encryption oracle时会受到远程代码执行的…

    漏洞 2024年5月16日
    0
  • GeoServer 文件上传漏洞 (CVE-2023-51444) 漏洞

    GeoServer 文件上传漏洞 (CVE-2023-51444)

    漏洞类型 任意文件上传 发现时间 2024-03-20 漏洞等级 高危 MPS编号 MPS-k1cj-eg7w CVE编号 CVE-2023-51444 漏洞影响广度 广 漏洞危害 OSCS 描述 GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。 GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的…

    2024年3月21日
    0