The-Privacy-Commons-Institute/chrome-mal-ids

# 恶意 Chrome 扩展程序 IOC 数据库 **一个由社区维护的恶意 Chrome 和 Edge 浏览器扩展程序漏洞指标（IOC）数据库。** *仓库：[chrome-mal-ids](https://github.com/The-Privacy-Commons-Institute/chrome-mal-ids)* [](LICENSE.md) [](formats/chrome-mal-ids-stix.json) ## 🔍 [搜索数据库 →](https://the-privacy-commons-institute.github.io/chrome-mal-ids) ## 这是什么 2021 年开始作为一个个人研究项目，在注意到没有单一权威的恶意 Chrome 扩展程序 ID 列表后。今天，它跟踪了 **2,700+ 记录的恶意扩展程序 IOC**，涵盖 **44 场运动**——从凭证窃取程序和浏览器劫持程序到供应链攻击和广告欺诈团伙。 该数据库由 [The Privacy Commons Institute](https://tpc.institute)（TPCI）维护，是一个活跃的研究平台。TPCI 对浏览器扩展程序威胁进行原创研究，包括持久性测量、移除率分析、IOC 源质量评估和行为验证。随着研究的进展，条目会更新。所有更改都记录在 [CHANGELOG.md](CHANGELOG.md）中。 所有源自原创研究的条目在发布前都经过人工审查。分布输出（STIX、MISP、Sigma、黑名单）仅包含 TPCI-验证的条目。 ## 数据 | 文件 | 描述 | |------|-------------| | [`data/current-list-meta.csv`](data/current-list-meta.csv) | 带有元数据的完整数据集 | | [`data/current-list.csv`](data/current-list.csv) | 仅 ID 的轻量级列表 | | [`data/current-list.txt`](data/current-list.txt) | 每行一个 ID 的纯文本黑名单 | | [`data/current-list.json`](data/current-list.json) | 带有完整元数据的 JSON 数组 | | [`data/current-list-sigma.yml`](data/current-list-sigma.yml) | SIEM 的 Sigma 检测规则 | | [`formats/chrome-mal-ids-stix.json`](formats/chrome-mal-ids-stix.json) | 用于威胁情报平台的 STIX 2.1 包 | | [`formats/misp-export.json`](formats/misp-export.json) | 用于手动导入的 MISP 事件 JSON | | [`formats/misp-feed/`](formats/misp-feed/) | MISP 负载目录，用于自动轮询 | | [`STATS.md`](STATS.md) | 自动生成的统计摘要 | | [`SCHEMA.md`](SCHEMA.md) | 完整的架构文档 | ### 架构概述 `current-list-meta.csv` 中的每个条目包含： | 字段 | 描述 | |-------|-------------| | `EXTID` | 32 个字符的 Chrome/Edge 扩展程序 ID | | `EXTID-NAME` | 扩展显示名称 | | `DATE-DIS` | 首次报告恶意行为的时间 | | `THREAT-TYPE` | 威胁类型（间谍软件、数据盗窃、浏览器劫持等） | | `BROWSER` | `chrome` 或 `edge` | | `STILL-ACTIVE` | 如果在报告时仍存在于浏览器商店中，则为 `1` | | `OWNERSHIP-TRANSFER` | 如果合法扩展被收购并变为恶意扩展，则为 `1` | | `SOURCE` | 主要研究来源 | | `ARTICLE` | 覆盖活动的新闻/博客文章 | | `NOTES` | 恶意行为的平实总结 | 完整架构：[SCHEMA.md](SCHEMA.md) ### 数据质量 此数据库中的条目分为两类，具有不同的置信水平： **独立验证的条目** (`CONTRIB-METHOD` ≠ `Delta_Import`，≠ `csv_import`) — 990 条 源自已发布的网络安全研究，在提交前由人工单独审查，带有来源引用和活动归属。这些是经过原创研究确认的恶意扩展程序。 **第三方来源条目** (`CONTRIB-METHOD=Delta_Import` 或 `csv_import`) — 1,796 条（1,498 条一次性批量 delta 导入；298 条来自 toborrm9/malicious_extension_sentry 的持续摄入）。这些条目尚未经过人工单独审查，但已进行过第 5A 阶段的静态行为分析——91.5% 的分析条目表现出已确认的恶意或高风险行为模式。检查 `TPCI-VERIFY` 和 `TPCI-IDENTITY` 字段以获取当前的验证状态。标记为 `TPCI-VERIFY=Stage 5A` 的条目已行为确认；标记为 `TPCI-VERIFY=stub` 的条目正在等待单独分析。 **按置信水平过滤：** ``` # 高置信度 — 仅限独立验证的条目 grep -v "Delta_Import\|csv_import" data/current-list-meta.csv # 检查验证状态 awk -F',' '$19 != "" '} data/current-list-meta.csv # TPCI verified entries # 未经验证的增量导入 grep "Delta_Import" data/current-list-meta.csv | grep -v "Store_Enrichment" ``` **其他质量说明：** - **未知 stubs** — 已确认恶意 ID 但元数据不完整的条目。 立即提交（一个 ID 比没有好）并在一段时间内丰富。 使用：`grep ",UNKNOWN," data/current-list-meta.csv` - **仍活跃标志** — 反映报告时的状态，不一定反映今天的状态。 使用 `TPCI-VERIFY` 和 `TPCI-VERIFY-DATE` 查看当前的验证状态。 - **供应链受害者** — 一些标记为 `TPCI-IDENTITY=remediated` 的条目是受供应链攻击损害的合法扩展程序。开发人员已修补恶意代码。这些 ID 保留以保持历史准确性，但不应该被视为当前恶意。 - **贡献者处理** - `malsware` 指的是 Mallory Bowes Brown（TPCI 首席研究员）——一个在学院成立之前的前任处理程序。 新记录使用 `mbb`。联系：research@tpc.institute ## 如何使用它 ### 🌐 搜索界面 在以下位置浏览和搜索完整数据库： **https://the-privacy-commons-institute.github.io/chrome-mal-ids** 按活动、威胁类型、浏览器、日期和活跃状态进行筛选。单击任何条目以获取包括研究文章链接在内的完整详细信息。 ### 📄 纯文本黑名单 每行一个 ID——与 grep、MDM 工具、自定义脚本兼容： ``` # 下载 curl -O https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/data/current-list.txt # 检查特定ID grep "YOUR_EXTENSION_ID" current-list.txt # 扫描所有已安装的Chrome扩展（Linux/macOS） comm -12 \ <(ls ~/.config/google-chrome/Default/Extensions/ | sort) \ <(grep -v '^#' current-list.txt | awk '{print $1}' | sort) ``` ### 🔷 JSON 作为 JSON 数组的完整元数据——非常适合开发人员和自定义工具： ``` https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/data/current-list.json ``` ``` import urllib.request, json url = "https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/data/current-list.json" data = json.loads(urllib.request.urlopen(url).read()) exts = {e["ext_id"]: e for e in data["extensions"]} # 检查ID if "your_extension_id" in exts: print(exts["your_extension_id"]) ``` ### 🔍 Sigma 规则（SIEM 检测） 涵盖所有已知恶意 ID 的 Sigma 规则——与 Splunk、Elastic、Microsoft Sentinel 和任何 Sigma 兼容的 SIEM 兼容： ``` https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/data/current-list-sigma.yml ``` 使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli）将其转换为您的 SIEM 的本地格式： ``` sigma convert -t splunk current-list-sigma.yml sigma convert -t elastic-dsl current-list-sigma.yml sigma convert -t sentinel current-list-sigma.yml ``` ``` # 下载完整的元数据CSV curl -O https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/data/current-list-meta.csv # 检查特定扩展ID是否恶意 grep "YOUR_EXTENSION_ID" current-list-meta.csv ``` ### 🛡️ 系统扫描脚本 **Linux / macOS：** ``` curl -O https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/contrib/scripts/linux_mac/chrome-ext-check.sh chmod +x chrome-ext-check.sh ./chrome-ext-check.sh ``` **Windows（PowerShell）：** ``` Invoke-WebRequest -Uri https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/contrib/scripts/windows/Scan-ChromeExtensions.ps1 -OutFile Scan-ChromeExtensions.ps1 .\Scan-ChromeExtensions.ps1 ``` ### 🔵 MISP 有两种 MISP 格式可供选择——手动导入或自动负载： **手动导入** (`misp-export.json`): ``` MISP → Events → Import → MISP JSON → select misp-export.json ``` **自动负载**（推荐——MISP 自动轮询）： ``` MISP → Feeds → Add Feed: Name: Malicious Chrome Extension IOC Database Type: MISP Feed URL: https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/formats/misp-feed/ Input source: Network Distribution: Your organisation only ``` 该负载为每个活动创建一个 MISP 事件（44 个事件），包含完整的属性元数据、TLP：WHITE 标签和来源引用。每次提交新数据库时都会自动更新。 ### 🧩 STIX 2.1 / OpenCTI STIX 2.1 包在每个更新时自动生成，并在以下位置提供： ``` https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/formats/chrome-mal-ids-stix.json ``` **MISP** — 计划拉取： ``` Events → Feeds → Add Feed → STIX 2.1 → paste URL above ``` **OpenCTI** — 远程摄入： ``` Data → Ingestion → Remote STIX2 Feeds → paste URL above ``` **通过发布 RSS 源订阅更新**： ``` https://github.com/The-Privacy-Commons-Institute/chrome-mal-ids/releases.atom ``` ### 🐍 Python / 程序化 ``` import csv, urllib.request url = "https://raw.githubusercontent.com/The-Privacy-Commons-Institute/chrome-mal-ids/master/data/current-list-meta.csv" with urllib.request.urlopen(url) as r: rows = list(csv.DictReader(line.decode() for line in r)) # 检查特定ID target = "your_extension_id_here" match = next((r for r in rows if r["EXTID"] == target), None) if match: print(f"MALICIOUS: {match['EXTID-NAME']} — {match['THREAT-TYPE']}") ``` ## 统计数据 - **2,708 个扩展程序 IOC** 跟踪 - **990 个独立验证** 条目（来自原创安全研究） - **1,711 个第三方来源** 条目（delta 导入 + toborrm9，验证正在进行中） - **44 个活动** 覆盖 - **Chrome 和 Edge** 扩展程序 - **2020 – present** 日期范围 - 威胁类型包括：间谍软件、数据盗窃、浏览器劫持、凭证盗窃、点击欺诈、会话劫持、加密货币挖矿、广告软件、ai-chat-scraper ## TPCI-V 验证 此数据库中的所有条目都受 [The Privacy Commons Institute](https://tpc.institute）开发的 **TPCI-V 多阶段验证协议** 的持续验证。 | 阶段 | 方法 | 字段 | |-------|--------|-------| | 阶段 1 | 来源审查和摄入 | `CONFIRM-MAL`，`REPORTED-MAL` | | 阶段 2 | Chrome CRX 更新 API | `TPCI-VERIFY`，`STILL-ACTIVE` | | 阶段 3 | 无头浏览器商店验证 | `TPCI-VERIFY`，`STILL-ACTIVE` | | 阶段 4 | 身份连续性检查 | `TPCI-IDENTITY`，`TPCI-STORE-NAME` | | 阶段 5 | 行为分析（静态 CRX） | `TPCI-BEHAVIORAL`，`TPCI-BEHAVIORAL-DATE` | 完整方法：[tpc.institute](https://tpc.institute) ## 监控来源 该数据库通过每天监控网络安全研究 RSS 源和 GitHub 存储库进行更新。 来源包括来自 Koi Security / Palo Alto、Bleeping Computer、The Hacker News、Krebs on Security、Sekoia、Palant's Blog、Secure Annex、Trustwave SpiderLabs、The Record、SecurityWeek 和几个 GitHub IOC 聚合存储库的博客和出版物。 要建议新的来源，[打开问题](https://github.com/The-Privacy-Commons-Institute/chrome-mal-ids/issues)。 ### 报告新的恶意扩展程序 [打开问题](https://github.com/The-Privacy-Commons-Institute/chrome-mal-ids/issues) 并提供： - 扩展程序 ID（来自 Chrome Web Store URL 的 32 个字符字符串） - 扩展程序名称 - 来源文章或研究帖子 - 恶意行为的简要描述 ### 数据格式 在提交 PR 之前，请参阅 [SCHEMA.md](SCHEMA.md) 以获取完整的字段规范。 ## 覆盖亮点 此列表中跟踪的一些值得注意的活动： - **Cyberhaven Dec 2024** — 对合法安全扩展的供应链攻击 - **DarkSpectre / ShadyPanda** — 36+ 个扩展程序，7.8M 感染的浏览器 - **Phoenix Invicta / Netflix Party** — 60+ 个扩展程序绕过 Manifest V3 限制 - **unknow.com 间谍软件** — 57 个扩展程序，6M 用户，cookie 窃取和远程控制 - **adindex 广告欺诈集群** — 通过 Firebase 的 RCE，会话回放用于广告欺诈 - **Koi RedDirection** — Chrome 和 Edge 的浏览器劫持活动 - **BIScience 点击流** — 在虚假借口下收集浏览历史记录 - 以及更多——[浏览完整列表 →](https://the-privacy-commons-institute.github.io/chrome-mal-ids) ## 许可证 此数据集根据 **[CC BY 4.0](LICENSE.md)** 许可。 您有权免费使用、分享和修改此数据，包括商业用途，前提是您提供适当的信用： 有关完整条款，请参阅 [LICENSE.md](LICENSE.md)。 *Maintained by [@mallorybowes](https://github.com/mallorybowes) / [The Privacy Commons Institute](https://tpc.institute)* *使用 [Claude](https://claude.ai)（Anthropic）构建的管道工具* *验证协议：[TPCI-V](https://tpc.institute)*

标签：AMSI绕过, Chrome 扩展, DNS解析, IOCs, RuleLab, STIX, 威胁情报, 威胁情报共享, 威胁检测, 威胁研究, 安全数据库, 开发者工具, 开源项目, 恶意软件, 持续监控, 攻击向量, 日志审计, 社区维护, 网络安全, 行为验证, 逆向工具, 隐私保护, 黑名单