Socket威胁研究团队发现了一个针对企业环境的新型复杂攻击活动。五款伪装成Workday、NetSuite和SAP SuccessFactors等主流平台生产力工具的恶意Google Chrome扩展，被发现窃取身份验证令牌并劫持用户会话。

　　攻击者为其恶意软件披上了专业合法的外衣。这些扩展具有精美的仪表盘界面google map 下载离线地图 翻墙，申请的权限也看似常规，不会立即引发安全警报。

　　这些扩展以提升企业平台访问效率的生产力工具自居...主要针对需要跨多账户操作或追求更快工作流的用户。

　　然而在这层伪装之下，是一个组织严密的恶意软件行动。Socket分析显示，这些工具共享相同的代码结构、API端点和安全工具检测列表，表明它们出自同一威胁行为者之手。

　　Cookie窃取：扩展程序持续窃取会话令牌。例如DataByCloud Access会提取名为_session的cookie，并每隔60秒将其传输到命令控制（C2）服务器。这确保即使用户在正常工作流程中登出再登录，攻击者仍能持有有效令牌。

　　会话劫持：Software Access扩展通过双向cookie注入技术将窃取行为升级。它从攻击者服务器获取被盗凭证，并直接注入受害者浏览器，使攻击者能绕过多因素认证（MFA）。Software Access的双向注入完全消除了认证要求，攻击者无需密码即可访问被入侵账户。

　　阻断应急响应：最具隐蔽性的功能是使安全团队失明。Data By Cloud 2和Tool Access 11等扩展会主动监控并阻断对关键管理页面的访问。这些阻断扩展制造了安全控制失效场景。安全团队虽能发现可疑活动...但所有标准处置操作均被阻断。

　　被阻断的页面包括密码修改表单、双因素认证设备管理界面和安全审计日志。当管理员尝试访问这些页面时，扩展会立即清空内容并重定向，实质上将防御者锁死在控制面板之外。

　　恶意软件作者还实施了规避研究人员检测的措施。某些变种包含DisableDevtool库以防止代码检查，并采用正则表达式toString修改技术来检测调试器是否处于活动状态。

　　没有任何合法扩展会阻止用户检查自己的密码字段，或禁止开发者工具打开。这些功能的存在纯粹是为了隐藏恶意行为。

　　通过入侵员工日常使用的工具，攻击者能绕过边界防御，直接获取敏感的HR和ERP数据。建议企业立即审查浏览器扩展管理策略，并排查是否安装了已识别的恶意插件。