你可能以为,只要不用Telegram接收陌生文件,账号就安全了。但最近出现的新型攻击链条告诉你:一个伪装成“IP扫描器”的普通软件,就足以让你的Telegram账号、VPN乃至整个公司的内网沦陷。
伪装成“高级IP扫描器”的恶意安装包
2026年4月14日,尼日利亚网络安全应急中心发布了一份安全通告,披露了一种名为Somnia的新型勒索软件攻击方式。乌克兰的网络安全专家率先发现,攻击者制作了一个模仿“Advanced IP Scanner”软件的安装包,诱导用户下载。受害者一旦运行这个看似无害的安装程序,恶意软件就会立刻在系统中植入Vidar恶意软件。
Vidar Stealer的主要任务只有一个——窃取用户的Telegram会话数据。会话数据不同于密码,它相当于Telegram的“通行证”,攻击者拿到它之后,无需输入密码,就能直接登录受害者的Telegram账号。如果你的Telegram账号没有开启双重身份验证,那么攻击者几乎畅通无阻。
从Telegram账号到企业内网
Telegram账号被攻陷,只是这条攻击链的第一步。
攻击者控制受害者的Telegram账号后,会利用它来窃取VPN连接所需的认证信息和证书。如果企业的VPN账号也没有配置双重身份验证,黑客就能借此直接接入公司内网。
进入内网之后,攻击者开始进行侦察工作,使用Netscan、Rclone、Anydesk和Ngrok等工具监控网络活动、建立远程访问通道。最终,他们会部署Cobalt Strike攻击工具,利用Rclone程序将企业内部敏感数据批量外传。
整个攻击链条可以概括为:伪装软件→Vidar恶意软件→窃取Telegram会话→控制Telegram账号→窃取VPN凭证→入侵企业内网→数据外泄。一个看似只是个人账号安全的问题,最终导致了整个企业的网络安全防线全面崩溃。CSIRT在通告中将此次攻击的影响与发生概率均评定为“高/高”级别。
不仅是“IP扫描器”,Chrome扩展也成了攻击渠道
几乎同一时间,另一波攻击也在悄然进行。网络安全公司Socket发现,Chrome官方扩展商店中出现了超过100个恶意扩展程序,试图窃取用户的Google OAuth2令牌、部署后门程序以及进行广告欺诈。
其中,Socket团队标注为“最严重”的一个恶意扩展,专门针对Telegram Web用户——它每隔15秒就会扫描一次Telegram Web的会话数据,从浏览器的localStorage中提取会话token,并发送到攻击者控制的服务器。据估计,这一轮恶意扩展攻击波及了约2万名用户。
Telegram的双重角色:受害者也成了帮凶
更令人不安的是,Telegram不仅是攻击的目标,还成了攻击者的工具。
Forcepoint安全实验室的研究揭示,Telegram的加密通讯服务正被恶意软件用作命令与控制基础设施。攻击者通过Telegram的机器人编程接口,向受感染的设备发送指令、控制僵尸网络、窃取数据。这并非因为Telegram本身存在安全漏洞,而是因为它的易用性——任何人都可以免费创建机器人、免费使用机器人编程接口,这种开放性恰恰被攻击者所利用。
2026年4月初,还被发现存在一个编号为CVE-2026-32982的漏洞,OpenClaw中的fetchRemoteMedia函数会在错误消息中泄露Telegram的机器人令牌。与此同时,一份针对金融行业的威胁情报报告指出,通过Telegram应用程序接口进行的账号劫持活动已被证实存在,约4%的被劫持账号来自金融行业。
你能做什么?
面对这些日益复杂的威胁,用户并非束手无策。
第一,开启双重身份验证。CSIRT的安全通告中第一条建议就是“使用双重身份验证密码来保护Telegram账号”。无论你的Telegram账号用于个人社交还是企业沟通,这一步都不可或缺。
第二,警惕来源不明的软件。不要随意下载所谓“破解版”、“汉化版”或伪装成知名工具的第三方安装包。坚持使用官方渠道获取软件,是抵御这类攻击的第一道防线。
第三,保护VPN账号。如果你的Telegram账号关联着企业VPN或工作相关账号,确保VPN也开启了双重身份验证,避免单一账号的沦陷引发连锁反应。
第四,关注官方应用的使用安全。尽量使用Telegram官方客户端,避免使用来源不明的第三方修改版。在Chrome浏览器中,定期检查已安装的扩展程序,移除那些来源不明或权限过高的插件。
第五,企业用户应加强网络安全培训。让员工了解社交工程攻击和恶意软件的基本特征,建立定期更换密码、审核权限的策略。
Telegram以其开放性和易用性赢得了数亿用户的青睐,但这种开放同样是一把双刃剑。在享受便利的同时,用户需要意识到:真正的安全,从来不只依赖于平台本身,而是取决于你如何保护自己的账号。