ShadyPanda惡意瀏覽器擴充功能

ShadyPanda是一個令人震驚的長期網路攻擊案例，其攻擊者進行了長達七年的瀏覽器擴充功能攻擊活動，累計安裝量超過430萬次。這項行動表明，即使是合法軟體，在缺乏有效監管的情況下，也可能被惡意利用。

從合法工具到惡意更新

五個被入侵的擴充功能最初是合法應用程序，但在 2024 年年中被篡改，添加了惡意功能。這些更新吸引了大約 30 萬次安裝，之後這些擴充功能最終被移除。惡意更新啟用了每小時一次的遠端程式碼執行功能，使攻擊者能夠下載並執行任意 JavaScript 程式碼，並獲得完整的瀏覽器存取權限。一旦激活，這些擴展程序將：

• 監控每個造訪過的網站。
• 提取加密的瀏覽記錄。
• 收集完整的瀏覽器指紋資訊。

Clean Master 就是一個顯著的例子，它之前曾經獲得Google的認證。它的官方認證幫助 ShadyPanda 擴大了用戶群，使其能夠在不引起懷疑的情況下進行惡意更新。

透過熱門插件進行大規模監控

另有五款瀏覽器擴充功能（包括 WeTab）大規模監控用戶。這些插件會追蹤網址、搜尋引擎查詢、滑鼠點擊和其他瀏覽器互動操作，並將資料傳輸到位於中國的伺服器。這些擴充功能的總安裝量約為四百萬次，其中 WeTab 就佔了三百萬次。

惡意行為的早期跡像出現在 2023 年，涉及開發者 nuggetsno15' 和 'rocket Zhang'，他們發布了 20 個 Chrome 擴展程序和 125 個 Edge 擴展程序，偽裝成壁紙或生產力工具。

利用聯盟行銷詐欺和瀏覽器劫持

ShadyPanda 的擴充功能最初從事聯盟行銷欺詐，透過在 eBay、亞馬遜和 Booking.com 等網站注入追蹤程式碼來賺取非法佣金。到 2024 年初，其策略升級為主動控制瀏覽器，包括：

• 搜尋查詢資料採集。
• 將搜尋重新導向到已知的瀏覽器劫持程式 trovi.com。
• 從目標網域竊取 cookie。

到 2024 年年中，三個長期合法使用的擴充功能被修改，每小時從「api.extensionplay(dot)com」獲取 JavaScript 有效載荷，執行這些有效載荷以監控每次網站訪問並將加密數據傳輸到「api.cleanmasters(dot)store」。這些有效載荷經過高度混淆，如果被開發者工具檢測到，則會進入良性模式，從而幫助惡意軟體逃避檢測。

高級攻擊能力

除了追蹤之外，這些擴充功能還可以發動中間人攻擊 (AitM)，從而實現以下目標：

• 憑證盜竊。
• 會話劫持。
• 任意網站均可被注入程式碼。

隨著 WeTab 等 Microsoft Edge 外掛程式的出現，監控力道進一步加強。這些插件能夠捕捉到大量的使用者互動訊息，包括滾動行為、頁面停留時間和所有瀏覽器指紋。目前，這些擴充功能已從各自的應用程式商店下架。

推薦使用者操作

這次攻擊活動經歷了四個不同的階段，從合法工具演變成複雜的間諜軟體。雖然目前尚不清楚下載量是否被人為誇大以使其看起來合法，但用戶面臨的風險仍然十分嚴重。已安裝任何此類擴充功能的使用者應立即卸載這些擴充程序，並輪換所有線上帳戶的密碼。

受影響的擴展範例：

• Clean Master：最佳 Chrome 快取清理器
• Speedtest Pro - 免費線上網路速度測試
• BlockSite
• 網址列搜尋引擎切換器
• SafeSwift 新分頁
• Infinity V+ 新分頁
• OneTab Plus：標籤頁管理與效率提升
• WeTab 新分頁
• 適用於行動裝置的 Infinity 新分頁
• Infinity 新分頁（專業版）
• Infinity 新分頁
• 夢想遠方 新分頁

ShadyPanda 的成功表明，技術上的精湛並非成功的唯一要素。該活動之所以能夠成功，正是利用了瀏覽器擴充功能市場中存在的系統性漏洞。擴充程序在提交時會經過審核，但審核通過後的行為卻鮮少受到監控。這種長期的監管漏洞使得一些原本值得信賴的工具悄悄演變成監控平台，凸顯了即使是經過驗證的軟體，也需要時時保持警覺。