卡巴斯基实验室安全工程师发现一个名为 PDF Toolbox 的扩展程序，这个扩展程序在 Chrome Web Store 下载次数超过 200 万次，评分为 4.2 分，主要提供 PDF 类的转换功能，例如将 Office 文档转换为 PDF 文档，从评价来看这款扩展还是挺不错的，评价也不像是刷的。

但卡巴斯基分析后发现 PDF Toolbox 存在可疑代码，该插件访问了 serasearchtop [.] com 的域名加载资源，可以在用户访问的任意网站上执行代码。

进行追踪分析后卡巴斯基发现 Chrome Web Store 有 34 款类似的扩展，这些扩展均提供某些特定功能，但属于不同开发者提交的，只不过它们连接的服务器都是同一个，很显然这是背后的黑产团伙为了避免被追踪才使用不同开发者账号提交。

这些扩展程序类似下次次数超过 8700 万次，在卡巴斯基提交报告后谷歌已经将它们从 Chrome Web Store 中删除，建议用户检查自己的 Chromium 系浏览器有没有安装这些恶意扩展。

清单如下：

• Autoskip for Youtube
• Soundboost
• Crystal Adblock
• Brisk VPN
• Clipboard Helper
• Maxi Refresher
• Quick Translation
• Easyview Reader view
• PDF Toolbox
• Epsilon Ad blocker
• Craft Cursors
• Alfablocker ad blocker
• Zoom Plus
• Base Image Downloader
• Clickish fun cursors
• Cursor-A custom cursor
• Amazing Dark Mode
• Maximum Color Changer for Youtube
• Awesome Auto Refresh
• Venus Adblock
• Adblock Dragon
• Readl Reader mode
• Volume Frenzy
• Image download center
• Font Customizer
• Easy Undo Closed Tabs
• Screence screen recorder
• OneCleaner
• Repeat button
• Leap Video Downloader
• Tap Image Downloader
• Qspeed Video Speed Controller
• HyperVolume
• Light picture-in-picture