近日，一场持续长达七年，感染430万用户的大规模恶意浏览器扩展程序（插件）黑客活动被曝光。

攻击者通过“长线钓鱼”策略，先发布合法的生产力工具积累用户信任，随后通过版本更新植入后门与间谍软件。该活动已导致谷歌Chrome和微软Edge平台上约430万用户感染。目前，尽管Chrome已清理相关插件，但微软Edge商店中仍有数款下载量超百万的恶意插件处于活跃状态。

事件全貌：信任背后的监控网

网络安全研究机构Koi Labs近日发布报告，披露了一个被命名为 “ShadyPanda” 的黑客组织。该组织实施了一场精心策划的供应链攻击，利用浏览器扩展商店的信任机制，对全球数百万用户实施了大规模监控。

与传统的网络钓鱼或社会工程学攻击不同，ShadyPanda不依赖用户的操作失误，而是利用了扩展程序的自动更新机制。这些插件在发布初期均为功能正常的合法工具（如PDF转换、标签页管理等），甚至获得了商店的“精选”（Featured）和“验证”（Verified）徽章，并在数年间积累了大量好评和真实用户。

然而，在拥有庞大用户基数后，攻击者推送了含有恶意代码的更新包。Koi Labs的研究团队指出：“没有钓鱼，没有诱骗，只有静默的版本更新，瞬间将生产力工具转变为监控平台。”

技术拆解：多阶段的攻击链条

据Koi Labs分析，ShadyPanda的活动分为多个阶段，其中最为致命的攻击手段包括远程代码执行（RCE）后门和全流量数据窃取。

1. “Clean Master”与RCE后门

   
   

在其中一个活跃战役中，涉及5款扩展程序，感染用户约30万。其中由Starlab Technology发布的“Clean Master”插件安装量超过20万。

• 触发机制：2024年中期，攻击者推送了包含后门的更新。

• 通信控制：恶意软件每小时向C2服务器 api.extensionplay[.]com请求新指令。

• 攻击能力：该后门拥有完整的浏览器API访问权限，可下载并执行任意JavaScript代码，甚至向HTTPS连接的网页中注入恶意内容。

• 对抗分析：恶意代码具备反分析能力，一旦检测到用户开启开发者工具（Developer Tools），便会自动切换为良性行为，隐藏踪迹。

• 数据回传：所有被盗数据——包括访问的所有URL、HTTP来源（Referrer）、用于行为分析的时间戳、持久性UUID4标识符以及完整的浏览器指纹——均被发送至ShadyPanda控制的服务器。

2. “WeTab”与大规模隐私窃取

另一组针对微软Edge的攻击更为猖獗。这5款插件于2023年上线，总安装量超过400万。

• WeTab案例：仅这一款插件就拥有300万安装量。虽然它伪装成标签页管理工具，实则是一个实时监控平台。

• 数据流向：研究人员发现，WeTab实时搜集用户的每一次点击、搜索查询、页面交互和存储访问权限，并将数据发送至17个不同的域名（其中包括8个百度服务器和7个位于中国的WeTab服务器）。

• 持续风险：研究人员警告称：“该扩展拥有包括访问所有URL和Cookie在内的危险权限。ShadyPanda随时可以通过推送更新，利用与Clean Master相同的框架将其武器化为RCE后门。”

平台响应：谷歌与微软的温差

此次事件暴露了应用商店在审核机制上的巨大差异与挑战。

谷歌发言人向媒体证实，报告中提到的所有恶意扩展程序均已从Chrome Web Store下架。针对研究人员关于“商店仅审核初始提交”的指控，谷歌予以反驳，强调其会对扩展程序的每一次更新（无论改动多小）进行筛查。

截至发稿时，微软尚未对置评请求做出回应。更令人担忧的是，据Koi Labs透露，仍有5款涉事恶意插件在Edge商店中处于上架状态，其中包括拥有300万用户的WeTab，且正在持续窃取用户数据。

历史溯源：惯犯的足迹

ShadyPanda并非首次作案。Koi Labs追踪到了该组织早期的两起恶意活动：

• 2023年广告欺诈：涉及145个扩展程序（20个Chrome，125个Edge），伪装成壁纸应用。当用户访问eBay、Amazon、Booking.com时，插件会注入联盟营销代码和谷歌分析追踪器，以此劫持流量获利。

• “InfinityV+”劫持：2023年初，该插件将用户的搜索请求重定向至浏览器劫持网站trovi.com，并记录用户的搜索框击键记录。

观点：信任是最大的漏洞

此次ShadyPanda事件为企业和个人用户敲响了警钟。它揭示了当前浏览器扩展生态系统中的一个系统性风险：“信任积累后的武器化”。

尽管应用商店有审核机制，但攻击者通过数年的“潜伏期”绕过了初始防御。即使是官方认证的“精选”应用，也不代表永久安全。对于企业安全团队而言，这意味着：

• 零信任延伸：即使是员工使用了多年的浏览器插件，也需纳入持续监控范围。

• 更新管控：企业策略应限制浏览器扩展的自动更新，或仅允许白名单内的特定版本运行。

• 资产清查：立即检查企业环境内的浏览器指纹，排查是否安装了“Clean Master”、“WeTab”等高危插件。

报告链接：

https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign

文章来源：GoUpSec