Chrome 应用商店中两款名为 "Phantom Shuttle" 的扩展程序，正伪装成代理服务插件，暗中劫持用户网络流量并窃取敏感数据。

据研究人员报告显示，这两款插件仍在 Chrome 官方应用商店上架，且至少自 2017 年起便已活跃。 

Phantom Shuttle 的目标用户多为需要测试不同地区网络连通性的外贸从业者。两款插件由同一开发者发布，均以 " 可代理流量、测试网速 " 为宣传点，订阅价格在 1.4 至 13.6 美元之间。

Chrome 应用商店中的 Phantom Shuttle 扩展程序

隐秘的数据窃取功能

Socket.dev 研究人员指出，Phantom Shuttle 会将用户所有网络流量路由至攻击者控制的代理服务器，且通过硬编码凭证实现访问——相关恶意代码被嵌入到合法的 jQuery 库中，以规避检测。

恶意代码采用自定义字符索引编码方案隐藏硬编码的代理凭证，并通过网络流量监听器，拦截所有网站的 HTTP 认证请求。为强制用户流量经由攻击者代理传输，该恶意插件会通过自动配置脚本，动态修改 Chrome 浏览器的代理设置。

在默认的 " 智能模式 " 下，插件会将 170 余个高价值域名的流量路由至代理网络，涵盖开发者平台、云服务控制台、社交媒体网站及成人内容门户等。本地网络与命令控制域名则被列入排除清单，以此避免攻击行为中断或被检测发现。

作为中间人，该插件可捕获各类表单数据（包括账户凭证、银行卡信息、密码、个人信息等），窃取 HTTP 头中的会话 Cookie，并从请求中提取 API 令牌。

研究人员建议 Chrome 用户：仅信任知名开发者发布的扩展程序，安装前查看多方用户评价，并留意插件申请的权限范围，避免因恶意插件导致数据泄露。