一个被开发者遗弃两年的Outlook插件,因未及时下线托管域名,沦为黑客的完美钓鱼工具——这是微软官方应用商店首次检测到真实在野的恶意插件,标志着供应链攻击已渗透至Windows生态核心分发渠道。
2026年2月11日,科技媒体bleepingcomputer披露了一起具有里程碑意义的安全事件:微软应用商店(Microsoft Store)中的Outlook插件AgreeTo被攻击者劫持并植入恶意代码,导致超过4000名用户的微软账户凭证泄露。这是微软官方商店历史上首个被证实的、在野活跃的恶意软件,也是首次针对Outlook插件的定向供应链攻击。
一、 事件复盘:一条被遗忘的URL如何变成钓鱼陷阱
插件背景
AgreeTo是一款由独立开发者于2022年12月上架的Outlook侧边栏插件,用于邮件签批等协作功能。上架后,该项目因开发者精力转移被完全遗弃,但插件仍留在微软商店供用户下载。
攻击链拆解
- 资产废弃:插件中调用的后端服务托管于Vercel平台,域名及项目链接在开发者停止维护后未进行续期或删除。
- 域名接管:攻击者发现该废弃URL,重新注册并部署恶意服务。由于微软在插件上架后不再对已有应用进行任何安全复验,插件仍可正常分发。
- 恶意代码植入:当用户安装并启用AgreeTo插件时,Outlook侧边栏会加载来自被劫持URL的虚假登录页面——该页面完全克隆微软官方认证界面,极难分辨真伪。
- 凭证外泄:用户输入的任何邮箱和密码,均通过Telegram机器人API实时发送至攻击者服务器。随后用户被无缝重定向至真实微软登录页,完成正常登录,整个过程受害者毫无察觉。
- 数据倒卖与撞库:失窃凭证被用于黑产交易、撞库攻击其他高价值平台。
攻击规模
根据安全研究公司Koi Security的监测,该恶意活动已导致至少4000个账户凭证被窃,实际受害者数量可能更高。目前微软已下架该插件,但已安装用户仍处于风险中。
二、 为什么这次事件值得所有站长警惕?
1. 微软商店的“上架即安全”神话被打破
长期以来,企业IT管理员普遍认为:官方应用商店=安全沙箱。但AgreeTo事件证明,微软商店的审核机制仅在上架瞬间生效。一旦应用通过审核,后续任何来自开发者服务端的恶意更新、域名劫持、API篡改,均不会触发二次审查。这是供应链安全在应用商店场景下的致命盲区。
2. “废弃数字资产”正成为攻击者的金矿
开发者遗弃的域名、未续费的云主机、无人维护的GitHub仓库——这些被遗忘在互联网角落的“数字僵尸”,如今已成为黑客插入恶意代码的理想跳板。AgreeTo事件中,攻击者甚至不需要入侵任何系统,只需注册一个过期的URL,就完成了对数千用户的钓鱼攻击。
3. Outlook插件的特权身份加剧危害
Outlook是企业办公的核心入口,插件往往被授予邮件读取、日历访问等敏感权限。虽然AgreeTo本身未申请高危权限,但其伪造的登录页面直接窃取了微软账户主凭证,攻击者可借此访问用户的OneDrive、Teams、Azure乃至整个Microsoft 365生态。
三、 安全防御的五个层次:从个人到企业
第一层:个人用户——立即执行三项操作
- 检查已安装插件:打开Outlook → 获取加载项 → 我的加载项,确认是否存在“AgreeTo”,如有则立即删除。
- 强制密码重置:无论是否可疑,建议所有用户重置微软账户密码,并开启多因素认证。
- 审查登录活动:访问微软账户安全面板,检查近期是否存在异常登录记录。
第二层:开发者——避免成为供应链攻击的源头
- 建立资产退役清单:所有对外发布的API、域名、云资源,在停用前必须彻底删除解析记录并释放资源,绝不允许进入“待续费”灰色期。
- 使用可撤销的临时令牌:避免在客户端硬编码长期有效的API密钥、回调URL。
第三层:企业IT管理员——重构应用商店信任模型
- 实施应用白名单:通过Intune等MDM工具,仅允许部署已验证业务必要性的商店应用,对插件进行动态行为监控。
- 启用条件访问策略:对来自可疑IP、新设备、非常用地理位置的登录请求,强制进行二次认证。
第四层:应用商店平台——刻不容缓的机制改革
微软必须正视“上架即安全”的失效问题。主机吧建议平台方引入:
- 定期活度检测:对长期无更新的应用进行标记,强制开发者确认存活状态。
- 运行时安全沙箱:插件调用的所有外部URL应经过安全扫描或限制为已验证域名。
- 用户反馈直通车:简化恶意插件举报流程,缩短下架响应时间。
第五层:网络安全基础设施——用专业产品堵住未知漏洞
对于无力追踪所有第三方依赖的普通站长和企业,最现实的做法是在攻击发生前建立纵深防护:
- Web应用防火墙(WAF):即便员工不慎在钓鱼页面输入凭证,企业WAF也可通过异常外连检测,识别出向Telegram机器人等非标准端点传输敏感数据的行为,实时阻断并告警。
- DNS安全防护:拦截对已知恶意域名、新注册钓鱼域名的解析请求,在用户点击恶意链接前直接掐断通信。
- 高防CDN与源站隐藏:对于自研应用,使用高防CDN将真实服务器IP隐藏于边缘节点之后,攻击者无法通过域名关联直接定位并攻击业务后端。
四、 主机吧观点:供应链安全的“最后一公里”在你自己手中
AgreeTo事件是一面镜子,它照出了三条冰冷的事实:
- 任何平台都可能成为恶意软件的分发管道——无论它叫微软商店、Chrome Web Store还是App Store。
- 你十年前注册的域名,十年后可能变成刺向用户的匕首——数字资产的生命周期管理,已从“运维成本”升级为“安全红线”。
- 边界防御正在失效——当攻击者通过合法渠道、合法插件、合法域名发起攻击时,传统防火墙与杀毒软件形同虚设。
解决方案不是抛弃应用商店,而是用主动防御重新定义信任。
主机吧为企业及开发者提供:
✅ 域名资产监控服务:自动扫描您名下所有域名、子域名、解析记录,及时发现即将过期或被篡改的风险资产,并发送预警。
✅ Web应用防火墙(WAF):内置数千条虚拟补丁规则,可拦截0day漏洞利用及未知恶意请求;独创的API异常行为检测引擎,能够识别并阻断仿冒登录页、凭证外传等钓鱼攻击。
✅ 高防CDN与DNS防护:隐藏源站IP,过滤恶意流量,保障业务在任何攻击下持续在线。
✅ 安全托管服务:7×24小时专家值守,从威胁监测、日志分析到应急响应,为您填补人力与技术缺口。
微软商店的第一个恶意插件不会是最后一个。 当供应链攻击的魔爪伸向每个角落,唯有构建从代码、资产到流量的多层防御体系,才能在这场不对等战争中守住阵地。
立即联系主机吧安全顾问,获取免费域名资产健康检查与WAF测试体验——让您的业务不再成为黑客眼中“废弃但可用的跳板”。
主机吧 | 专注网络安全实战,助您筑牢服务器安全防线
高防CDN·高防IP·高防服务器·百度云防护WAF·京东云星盾SCDN·SSL证书
咨询热线/微信:XXXX-XXXXXXX(根据实际填写)
