ShadyPanda恶意浏览器扩展程序

ShadyPanda是一个令人震惊的长期网络攻击案例，其攻击者开展了长达七年的浏览器扩展程序攻击活动，累计安装量超过430万次。这一行动表明，即使是合法软件，在缺乏有效监管的情况下，也可能被恶意利用。

从合法工具到恶意更新

五个被入侵的扩展程序最初是合法应用程序，但在 2024 年年中被篡改，添加了恶意功能。这些更新吸引了大约 30 万次安装，之后这些扩展程序最终被移除。恶意更新启用了每小时一次的远程代码执行功能，使攻击者能够下载并运行任意 JavaScript 代码，并获得完整的浏览器访问权限。一旦激活，这些扩展程序将：

• 监控每个访问过的网站。
• 提取加密的浏览历史记录。
• 收集完整的浏览器指纹信息。

Clean Master 就是一个显著的例子，它之前曾获得谷歌的认证。它的官方认证帮助 ShadyPanda 扩大了用户群，使其能够在不引起怀疑的情况下进行恶意更新。

通过热门插件进行大规模监控

另有五款浏览器扩展程序（包括 WeTab）大规模监控用户。这些插件会追踪网址、搜索引擎查询、鼠标点击和其他浏览器交互操作，并将数据传输到位于中国的服务器。这些扩展程序的总安装量约为四百万次，其中 WeTab 就占了三百万次。

恶意行为的早期迹象出现在 2023 年，涉及开发者 nuggetsno15' 和 'rocket Zhang'，他们发布了 20 个 Chrome 扩展程序和 125 个 Edge 扩展程序，伪装成壁纸或生产力工具。

利用联盟营销欺诈和浏览器劫持

ShadyPanda 的扩展程序最初从事联盟营销欺诈，通过在 eBay、亚马逊和 Booking.com 等网站注入跟踪代码来赚取非法佣金。到 2024 年初，其策略升级为主动控制浏览器，包括：

• 搜索查询数据采集。
• 将搜索重定向到已知的浏览器劫持程序 trovi.com。
• 从目标域名窃取 cookie。

到 2024 年年中，三个长期合法使用的扩展程序被修改，每小时从“api.extensionplay(dot)com”获取 JavaScript 有效载荷，执行这些有效载荷以监控每次网站访问并将加密数据传输到“api.cleanmasters(dot)store”。这些有效载荷经过高度混淆，如果被开发者工具检测到，则会进入良性模式，从而帮助恶意软件逃避检测。

高级攻击能力

除了跟踪之外，这些扩展程序还可以发起中间人攻击 (AitM)，从而实现以下目标：

• 凭证盗窃。
• 会话劫持。
• 任意网站均可被注入代码。

随着 WeTab 等 Microsoft Edge 插件的出现，监控力度进一步加强。这些插件能够捕捉到大量的用户交互信息，包括滚动行为、页面停留时间和所有浏览器指纹。目前，这些扩展程序已从各自的应用商店下架。

推荐用户操作

此次攻击活动经历了四个不同的阶段，从合法工具演变为复杂的间谍软件。虽然目前尚不清楚下载量是否被人为夸大以使其看起来合法，但用户面临的风险依然十分严重。已安装任何此类扩展程序的用户应立即卸载这些扩展程序，并轮换所有在线帐户的密码。

受影响的扩展示例：

• Clean Master：最佳 Chrome 缓存清理器
• Speedtest Pro - 免费在线网速测试
• BlockSite
• 地址栏搜索引擎切换器
• SafeSwift 新标签页
• Infinity V+ 新标签页
• OneTab Plus：标签页管理和效率提升
• WeTab 新标签页
• 适用于移动设备的 Infinity 新标签页
• Infinity 新标签页（专业版）
• Infinity 新标签页
• 梦想远方 新标签页

ShadyPanda 的成功表明，技术上的精湛并非成功的唯一要素。该活动之所以能够成功，正是利用了浏览器扩展程序市场中存在的系统性漏洞。扩展程序在提交时会经过审核，但审核通过后的行为却鲜少受到监控。这种长期的监管漏洞使得一些原本值得信赖的工具悄然演变为监控平台，凸显了即使是经过验证的软件，也需要时刻保持警惕。