警惕伪装成安全工具的恶意扩展：Osiris 浏览器扩展分析

作者：Thinking

背景

近日，社交平台 X 上的用户 @0xmaoning 联系慢雾安全团队寻求帮助，表示发现浏览器扩展“Osiris”存在钓鱼嫌疑，隐蔽性极强，自己险些中招，希望我们协助分析以避免更多人受害。

经过慢雾安全团队深入分析，该恶意浏览器扩展会替换用户的正常下载链接，将其重定向到恶意程序的下载地址。用户在毫不知情的情况下安装了这些恶意程序，导致加密资产失窃。在此特别感谢 X 用户 @0xmaoning 和 @Onefly_eth 提供的线索与反馈，为本次分析提供了关键支持，有效避免了更多用户落入陷阱。

相关攻击信息

恶意浏览器扩展下载地址：

https[:]//chromewebstore.google.com/detail/osiris/leegjgppccbgnajpjgijlhplefgpnmdf

恶意程序下载地址：

https[:]//osiris.vip/registrartionusersuccessfully.php?type=dmg

恶意站点：

https[:]//osiris.vip/

恶意程序上传数据：

http[:]//192.124.178.88

钓鱼技巧分析

攻击者通过社交平台推荐目标用户下载名为“Osiris”的恶意浏览器扩展。该扩展伪装成 Web3 安全工具，声称可以帮助用户识别 Web3 欺诈、钓鱼和恶意程序等威胁，实则暗藏祸心。

恶意浏览器扩展下载地址（风险提醒：需在隔离环境中分析）：https[:]//chromewebstore.google.com/detail/osiris/leegjgppccbgnajpjgijlhplefgpnmdf。

我们对该恶意扩展代码进行分析后发现，它通过“chrome.declarativeNetRequest.updateDynamicRules”设置网络请求规则。

代码内容如下所示：

这些规则是从攻击者控制的服务器获取的。

规则获取的请求：https[:]//osiris.vip/security?uid=aauyaxxsyd。

将规则添加到“chrome.declarativeNetRequest.updateDynamicRules”后，目标用户的后续网络请求一旦匹配到规则，就会被替换。

攻击者设置的规则包括：

• 匹配所有以 .exe、dmg、zip 结尾的 URL；

• 仅针对网页主框架（地址栏 URL）或子框架（iframe）的请求；

• 替换成恶意程序的下载链接。

有关 declarativeNetRequest 的详细介绍可参考：https://developer.chrome.com/docs/extensions/reference/api/declarativeNetRequest。

当目标用户安装完恶意扩展后，攻击者会引导用户访问某些应用程序官网（如 Notion 官网）下载应用，从而触发下载链接替换陷阱。触发后，尽管浏览器中的下载记录显示的是官方来源，但实际下载的文件已被替换为恶意程序。攻击者巧妙利用了浏览器展示上的漏洞欺骗用户。

恶意程序分析

以下以 macOS 版本的恶意程序为例进行分析。

恶意程序下载地址（风险提醒：需在隔离环境中进行分析）：https[:]//osiris.vip/registrartionusersuccessfully.php?type=dmg。

恶意程序运行后，会引导用户打开终端，并将 Installer 拖到终端中执行。

实际上，用户执行的是 Installer.kmo 文件。该文件使用 base64 编码隐藏了攻击者的代码意图，同时要求用户输入电脑密码以获取权限，从而读取敏感数据。

解码后发现，其通过 bash 运行了一段 AppleScript 脚本，目的是运行 .Installer：

1. 查找目标磁盘，通过 AppleScript 列出所有挂载的磁盘，找到名称包含 Installer 的磁盘；

2. 复制隐藏安装程序，将该磁盘中的隐藏文件 .Installer 复制到 /tmp 目录，并赋予执行权限；

3. 静默执行，直接运行复制的安装程序，过程中通过 try 块抑制错误，无任何验证或用户交互。

运行 .Installer 后，该程序会打包用户的 Chrome 浏览器数据和 keychain 等重要信息，并上传至 192.124.178.88。攻击者拿到这些数据后，可以尝试解码获取 Web3 钱包的私钥或助记词，从而窃取用户资产，还可以获取 Chrome 中保存的账号密码，进一步接管用户的社交平台账号、加密货币平台账号等。

类似攻击手法我们此前已分析过，感兴趣的读者可参阅《眼见不为实｜假 Zoom 会议钓鱼分析》。

总结

真正的安全无需过度承诺，伪工具终究难以掩饰杀机。Web3 世界机遇与风险并存，以“安全”为名的解决方案或工具推荐，也可能成为攻击者利用的心理突破口。这类伪装成“安全工具”的扩展程序通过劫持下载链接、植入恶意代码等手段窃取加密资产和用户数据，已导致部分用户蒙受损失。鉴于此，慢雾安全团队提醒广大用户切勿随意安装未知程序或扩展，也不要轻信陌生人的方案或工具推荐。此外，建议用户安装知名杀毒软件，进一步提升端上安全防护能力。