Blog · 安全通告 · 2026 年 7 月 14 日更新
ModHeader 恶意软件清理指南:卸载、清除残留、堵住后患
2026 年 7 月上旬,在研究人员报告其内置隐藏数据收集 SDK 后,Google 将 ModHeader v7.0.18 判定为恶意软件,Microsoft 也将其从 Edge 商店下架。这是一份不煽情的实操清单:确认是否受影响、卸载、清除 Mac/Windows 上的残留,并保护它可能碰过的东西。
Blog · 安全通告 · 2026 年 7 月 14 日更新
2026 年 7 月上旬,在研究人员报告其内置隐藏数据收集 SDK 后,Google 将 ModHeader v7.0.18 判定为恶意软件,Microsoft 也将其从 Edge 商店下架。这是一份不煽情的实操清单:确认是否受影响、卸载、清除 Mac/Windows 上的残留,并保护它可能碰过的东西。
无论你最后用不用 VibeHeader,这份指南都写得对你有用。下文关于 ModHeader 的所有说法均来自 Google、Microsoft 和独立研究人员(见文末出处),不是我们自己的分析。如果 Chrome 或 Edge 已经替你停用了这个扩展,说明下面的清理步骤正适用于你。
赶时间?核心动作就四步(细节见下文):
api.stanfordstudies.com。7.0.18 版本捆绑了一个隐藏 SDK——藏在一个伪装成日期库的文件(dayjs.min-*.js)里——收集你访问过的域名,用 AES-GCM 加密后,每天一次 POST 到第三方收集端 api.stanfordstudies.com/app/log(一个自称 "Stanford Studies"、与斯坦福大学毫无关系的站点)。如果你还装着 ModHeader,各方普遍建议的做法是删除它。下面是彻底清理的步骤。
打开 chrome://extensions(用 Edge 的话也打开 edge://extensions),开启开发者模式以显示版本号。
idgpnmonknjnojddfkpgkljpfnnfcklj7.0.18(如果你在用这个版本,请按受影响处理)如果 Chrome 的安全检查已经显示"此扩展程序包含恶意软件",那你来对地方了——不要只是把警告点掉,请完成下面的全部清理。实际的警告长这样:
chrome://extensions → 找到 ModHeader → 点击移除 → 确认。在 edge://extensions 重复一遍。卸载通常能清掉大部分,但该扩展的缓存数据——研究人员报告其存储的请求/响应头可远超 100 MB,可能包含 token 和 Cookie——有时会残留。稳妥起见,把以下仍然存在的文件夹删掉。Default 请替换成你实际的配置文件夹(也检查 Profile 1、Profile 2……)。
在 ~/Library/Application Support/Google/Chrome/ 下(Edge 对应 Microsoft Edge 目录):
Default/Extensions/idgpnmonknjnojddfkpgkljpfnnfckljDefault/Local Extension Settings/idgpnmonknjnojddfkpgkljpfnnfckljDefault/Sync Extension Settings/idgpnmonknjnojddfkpgkljpfnnfckljDefault/IndexedDB/chrome-extension_idgpnmonknjnojddfkpgkljpfnnfcklj_0.indexeddb.leveldb在 %LOCALAPPDATA%\Google\Chrome\User Data\ 下(Edge:%LOCALAPPDATA%\Microsoft\Edge\User Data\):
Default\Extensions\idgpnmonknjnojddfkpgkljpfnnfckljDefault\Local Extension Settings\idgpnmonknjnojddfkpgkljpfnnfckljDefault\Sync Extension Settings\idgpnmonknjnojddfkpgkljpfnnfckljDefault\Managed Extension Settings\idgpnmonknjnojddfkpgkljpfnnfckljDefault\IndexedDB\chrome-extension_idgpnmonknjnojddfkpgkljpfnnfcklj_0.indexeddb.leveldb删除前请完全退出浏览器,否则文件可能被占用。
💡 提示:把清扫交给 coding agent。如果你在用 Claude Code、Codex 这类编程智能体,可以直接把本文链接(或上面的目录清单)粘贴给它,让它遍历你所有的浏览器 Profile,找出并删除 ModHeader 的残留目录——Profile 多、怕漏删的时候特别好用。两个安全提醒:先完全退出浏览器;让它先列出找到的目录、经你确认后再动手删。
把收集端屏蔽并留痕,确保哪怕有残余的缓存副本也发不出任何数据:
0.0.0.0 api.stanfordstudies.com(macOS/Linux 是 /etc/hosts,Windows 是 C:\Windows\System32\drivers\etc\hosts),或在你的 DNS 解析器 / Pi-hole 里屏蔽。api.stanfordstudies.com(以及父域名 stanfordstudies.com)加入 DNS 黑名单 / 出站防火墙,并在代理和 DNS 日志中检索历史上指向该主机的 POST /app/log。由于该扩展能读取并存储流经浏览器的请求头,你曾经常粘贴进去的东西都应按可能暴露处理,全部重新签发:
鉴于报告称其处于休眠状态,这属于预防性措施——但换一个 token 的成本,远低于赌它没事。
在受管终端上按以下指标排查。可信度最高的是扩展 ID、版本号、外传端点和伪装文件名;标注(据报告)的条目来自原始逆向分析文章,为完整性附上。
| 类型 | 指标 |
|---|---|
| 扩展 ID | idgpnmonknjnojddfkpgkljpfnnfcklj |
| 版本 | 7.0.18 |
| 网络(外传) | 指向 api.stanfordstudies.com/app/log 的出站 POST |
| 域名 | api.stanfordstudies.com、stanfordstudies.com |
| 伪装文件 | dayjs.min-*.js(数据收集 SDK) |
| 相关文件(据报告) | background-94ad634d.js |
| 硬编码 AES 密钥(据报告) | aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE |
| 指纹盐值(据报告) | mod盐header |
报告的行为特征:只收集域名(不含完整 URL、Cookie 值、密码),AES-GCM 加密,按设备随机化调度、每天批量上传一次,无远程代码执行、不加载外部脚本。
据逆向 7.0.18 版本的研究人员称,收集器发布时处于空白名单背后的休眠状态,测试环境中没有数据被发出。但端点、密钥和调度器都在,后续更新随时能激活。请按真实的暴露风险处理而非已确认泄露:删掉它、清掉数据、轮换你粘贴过的密钥。
还没有。停用只是不让它运行,本地缓存数据(据报告存储的头、token、Cookie 可远超 100 MB)并不会删除。请彻底移除,并按第 3 步删掉残留文件夹。
研究人员将隐藏 SDK 归因于 7.0.18 版本(ID idgpnmonknjnojddfkpgkljpfnnfcklj)。2026 年 7 月上旬 Google 标记并停用、Microsoft 从 Edge 下架。
按这几条标准挑:轻量、原生 MV3、无广告、无数据统计、权限一眼看得懂。VibeHeader 就是按这个标准做的(并正在开源以供审计);需要更重的规则引擎可以看 Requestly 和 Header Editor(英文)。
测试工作还是离不开改请求头——所以实际的问题是接下来信任谁。真正重要的清单:功能小而专注;原生 Manifest V3;无广告、无数据统计;权限清晰可判断;分享机制不经过别人的服务器。
VibeHeader 就是按这个规格造的:无广告、无追踪,链接分享把配置编码在 URL 片段(#c=)里,在你的浏览器本地解析,不向任何服务器发送。它也正在开源——你不必只听我们的一面之词。想看完整来龙去脉和其他选择,见开发者自述(英文)和 ModHeader 替代品对比(英文)。
没有强推——这个页面的目的,是无论你换成什么,都先安全地把残留清干净。
本页关于 ModHeader 的所有说法均归属于 Google、Microsoft 及上述链接中的研究人员。标注"(据报告)"的指标来自 HackIndex 的文章,我们未做独立复验。