Firefox扩展恶意软件深度分析：隐写术、C2信标和联盟劫持就在眼皮底下

一位安全研究员发布了对名为"YTMP4 — Download YouTube Videos to MP4"的Firefox扩展的详细分析。该恶意软件采用了包括隐写载荷、72小时休眠延迟、隐藏在PNG文件中的C2信标和联盟佣金劫持等复杂技术。

扩展信息

• 名称：YTMP4 — Download YouTube Videos to MP4
• 状态：截至2026年4月仍存活于Mozilla官方扩展商店
• 评级：严重风险（1严重·22高·17中·1信息）
• 能力：凭据窃取、远程命令执行、联盟佣金劫持、完整HTTP请求控制

关键技术

1. PNG图标中的隐写载荷

恶意软件将核心载荷隐藏在扩展PNG图标的IEND标记之后——简单的代码审查会遗漏这种技术。附加的1902字节包含ROT13编码的C2服务器地址和命令指令。

2. 72小时休眠+随机采样

恶意软件在安装后完全休眠72小时，使用随机采样来避免在Mozilla扩展审核过程中表现出恶意行为。只有在延迟之后才激活C2信标。

3. PNG文件中的C2信标

命令控制服务器地址隐藏在第二个PNG文件中，对DOM检查和DevTools不可见。

4. 动态declarativeNetRequest规则注入

扩展伪装成广告拦截器，实际上让C2服务器完全控制所有HTTP请求——实现在任何域名上的任意URL重定向和CSP擦除。

攻击链

1. 用户从Mozilla商店安装看似合法的扩展
2. 扩展休眠72小时以通过审核
3. 从PNG图标解码隐写载荷
4. 通过隐藏的PNG信标建立C2通信
5. 注入伪装成广告拦截的动态网络请求规则
6. 开始凭据窃取、联盟劫持和任意URL重定向
7. CSP擦除使跨站脚本攻击可以在任何访问的域上执行

为什么重要

研究员指出："我确信，如果我在仅15分钟的随机扩展浏览中就能发现这个，那么还有很多很多类似的例子。"

分析使用了一个名为browser-xpi-malware-scanner.py的开源工具。简单的缓解措施是检查PNG文件中IEND标记之后的数据。