Tiện ích mở rộng độc hại QuickLens: Nguy cơ RCE nghiêm trọng
Một tiện ích mở rộng độc hại dành cho trình duyệt, từng được Google công nhận với huy hiệu Featured, đã bí mật biến thành công cụ remote code execution (thực thi mã từ xa) sau khi thay đổi quyền sở hữu. Sự việc này phơi bày hàng ngàn người dùng trước nguy cơ tiêm mã độc kịch bản và loại bỏ hoàn toàn các tiêu đề bảo mật của trình duyệt.
Chiến dịch này tập trung vào QuickLens, một công cụ tiện ích mở rộng trông có vẻ hợp pháp được thiết kế để tích hợp Google Lens. Đây là một ví dụ điển hình về cách một tiện ích mở rộng độc hại có thể lẩn tránh các biện pháp kiểm soát bảo mật, cho thấy ngay cả một tiện ích được đánh giá cao cũng có thể bị vũ khí hóa chỉ sau một đêm thông qua một bản cập nhật âm thầm.
QuickLens ban đầu là một công cụ thiết thực, cho phép người dùng tìm kiếm hình ảnh bằng Google Lens trực tiếp từ trình duyệt. Các tính năng bao gồm chụp màn hình, chọn vùng, tìm kiếm khung YouTube và tra cứu sản phẩm Amazon.
Tiện ích này đã phát triển nhanh chóng, đạt 7.000 người dùng hoạt động và nhận được huy hiệu Featured từ Google, cho thấy mức độ tin cậy và phổ biến ban đầu.
Sự Biến Đổi Nguy Hiểm của Tiện Ích Mở Rộng Độc Hại QuickLens
Hành Trình Từ Công Cụ Hữu Ích Đến Mối Đe Dọa
QuickLens được xuất bản lần đầu tiên trên Chrome Web Store vào ngày 9 tháng 10 năm 2025. Chỉ hai ngày sau đó, vào ngày 11 tháng 10, tiện ích này đã được rao bán trên ExtensionHub, một nền tảng thị trường cho phép các nhà phát triển bán tiện ích của họ, bao gồm cả cơ sở người dùng hiện có.
Các nhà phân tích từ Annex Security đã xác định mối đe dọa này ở nhiều giai đoạn khác nhau, bắt đầu từ việc niêm yết bán vào tháng 10 năm 2025. Thông tin chi tiết hơn về quá trình phát hiện có thể được tìm thấy tại báo cáo của Annex Security.
Thay Đổi Quyền Sở Hữu và Dấu Hiệu Bất Thường
Vào ngày 1 tháng 2 năm 2026, quyền sở hữu của tiện ích đã được chuyển giao cho một thực thể chưa được xác minh, hoạt động dưới tên miền supportdoodlebuggle.top. Thực thể này được đăng ký là LLC Quick Lens, một danh tính không có sự hiện diện trực tuyến đáng tin cậy.
Chính sách quyền riêng tư của tiện ích cũng được chuyển đến kowqlak.lat. Sự chuyển đổi này biến tiện ích mở rộng độc hại QuickLens thành một mối đe dọa tiềm tàng ngay cả trước khi mã độc được kích hoạt.
Vào ngày 17 tháng 2, phiên bản 5.8 của tiện ích đã được phát hành, và cùng với đó, một nền tảng command-and-control (C2) hoạt động đầy đủ đã được bí mật đẩy đến tất cả 7.000 người dùng.
Cơ Chế Khai Thác Tiện Ích Mở Rộng Độc Hại
Cập Nhật Độc Hại và Thay Đổi Cấu Hình
Bản cập nhật phiên bản 5.8 đã giới thiệu ba thay đổi cốt lõi. Thứ nhất là một máy chủ C2 mới tại api.extensionanalyticspro.top được nhúng vào service worker chạy ngầm của tiện ích.
Thứ hai là hai quyền mới: declarativeNetRequestWithHostAccess và webRequest. Thứ ba là một tệp rules.json hoàn toàn mới.
Đối với hầu hết người dùng, đây chỉ là một thông báo cập nhật quyền tiêu chuẩn, loại thông báo mà hầu hết mọi người thường chấp nhận mà không xem xét kỹ lưỡng. Tất cả những thay đổi này biến QuickLens thành một tiện ích mở rộng độc hại hoàn chỉnh, sẵn sàng cho các hành vi khai thác.
Vô Hiệu Hóa Các Biện Pháp Bảo Mật Trình Duyệt
Tệp rules.json là nguyên nhân gây ra thiệt hại nghiêm trọng nhất ngay lập tức. Nó chỉ thị cho tiện ích loại bỏ tất cả các tiêu đề bảo mật trình duyệt quan trọng khỏi mọi phản hồi HTTP.
Các tiêu đề bị loại bỏ bao gồm Content-Security-Policy (CSP), X-Frame-Options và X-XSS-Protection. Việc này đã loại bỏ hiệu quả các lớp bảo vệ khỏi mọi trang web được truy cập.
Hậu quả là người dùng bị phơi nhiễm với các cuộc tấn công như clickjacking, cross-site scripting (XSS) và các yêu cầu liên miền không hạn chế, mở đường cho tấn công chuỗi cung ứng thông qua trình duyệt.
Kỹ Thuật “Pixel Trick” và Thực Thi Mã Từ Xa
Kỹ thuật thực thi mã là cốt lõi của cuộc tấn công này, được xây dựng dựa trên một thủ thuật đơn giản một cách lừa dối. Máy chủ C2 phân phối mã JavaScript tới tiện ích dưới dạng một mảng các chuỗi, sau đó được lưu trong bộ nhớ cục bộ của trình duyệt dưới nhãn cached-agents-data.
Trên mỗi trang web được truy cập, tiện ích đọc tải trọng đã lưu trữ này và thực thi nó thông qua một hình ảnh GIF trong suốt 1×1. Đây là kỹ thuật mà các nhà nghiên cứu gọi là “pixel trick”.
Tiện ích tạo một phần tử hình ảnh ẩn bên trong trang web, với nguồn của nó được đặt thành một GIF trong suốt 1×1 được mã hóa dưới dạng URI dữ liệu base64. Hình ảnh này tải ngay lập tức mà không tạo ra bất kỳ yêu cầu mạng bên ngoài nào.
Tải trọng JavaScript từ máy chủ C2 sau đó được gắn dưới dạng thuộc tính onload nội tuyến trên phần tử hình ảnh đó. Ngay khi trình duyệt xử lý hình ảnh, tập lệnh sẽ thực thi trong toàn bộ ngữ cảnh của trang hiện tại.
Điều này cung cấp cho kẻ tấn công quyền truy cập trực tiếp vào mọi thứ trên màn hình. Kỹ thuật này hoạt động chính xác vì Content-Security-Policy thường sẽ chặn các trình xử lý sự kiện nội tuyến trên bất kỳ trang web nào được cấu hình tốt.
Tuy nhiên, vì phiên bản 5.8 đã loại bỏ các tiêu đề CSP trên toàn cầu, tải trọng chạy tự do trên mọi trang được truy cập, dẫn đến khả năng remote code execution (RCE) trên trình duyệt của người dùng. Để hiểu thêm về các mối đe dọa liên quan đến bảo mật trình duyệt, bạn có thể tham khảo hướng dẫn của CISA về bảo mật trình duyệt.
Tác Động và Khả Năng Khai Thác
Nguy Cơ Rò Rỉ Dữ Liệu và Tấn Công Phụ Trợ
Mã được tiêm vào có thể đọc các token phiên, thu thập dữ liệu đầu vào biểu mẫu, quét nội dung trang và gửi dữ liệu bị đánh cắp đến các máy chủ bên ngoài. Tất cả những hoạt động này diễn ra trong khi tiện ích vẫn tiếp tục hoạt động bình thường như một công cụ Google Lens.
Điều này khiến người dùng không có lý do gì để nghi ngờ bất kỳ điều gì bất thường. Khả năng remote code execution này cho phép kẻ tấn công kiểm soát đáng kể phiên duyệt web của người dùng, dẫn đến rò rỉ dữ liệu nhạy cảm.
Thách Thức Trong Phát Hiện Mã Độc
Điều khiến cuộc tấn công này đặc biệt khó phát hiện là tải trọng độc hại không bao giờ xuất hiện trong các tệp nguồn của tiện ích. Phân tích mã tĩnh không tiết lộ điều gì khác ngoài một hàm tạo các phần tử hình ảnh.
Mã JavaScript chỉ đến từ máy chủ C2 vào thời điểm chạy. Ngay cả việc đặt tên nội bộ, như safelyProcessElement, cached-agents-data, extensionanalyticspro, cũng được thiết kế để hòa nhập như hoạt động trình duyệt thông thường, làm tăng tính khó khăn khi phát hiện tiện ích mở rộng độc hại này.
Biện Pháp Phòng Ngừa và Khuyến Nghị Bảo Mật
Chiến Lược Tăng Cường An Ninh Mạng
Các tổ chức nên thực thi chính sách cho phép nghiêm ngặt đối với các tiện ích mở rộng trình duyệt (allowlisting) và chủ động giám sát các thay đổi quyền không mong muốn, đặc biệt là các quyền mới như declarativeNetRequest và webRequest. Đây là các quyền quan trọng cần theo dõi trong bối cảnh các cuộc tấn công chuỗi cung ứng.
Người dùng cá nhân nên thường xuyên kiểm tra các tiện ích đã cài đặt và coi các thông báo cập nhật quyền không mong muốn là một dấu hiệu cảnh báo. Các tiện ích thay đổi quyền sở hữu cần được xem xét cẩn thận trước khi tiếp tục sử dụng để tránh bị lây nhiễm bởi tiện ích mở rộng độc hại.
Chỉ Số Nhận Diện Đe Dọa (IOCs)
Dưới đây là các chỉ số nhận diện đe dọa liên quan đến chiến dịch này:
- Máy chủ C2:
api.extensionanalyticspro.top - Miền chuyển giao quyền sở hữu:
supportdoodlebuggle.top - Miền chính sách quyền riêng tư:
kowqlak.lat
Việc theo dõi và chặn các miền này có thể giúp giảm thiểu rủi ro từ tiện ích mở rộng độc hại tương tự và tăng cường an ninh mạng tổng thể.
