430 万浏览器被感染：揭秘 ShadyPanda 长达 7 年的恶意软件活动

摘要：近日，安全公司 Koi.ai 发布了一份重磅报告，揭露了一个名为 ShadyPanda 的威胁组织。该组织在过去 7 年中，通过 Chrome 和 Edge 商店分发恶意浏览器扩展，感染了超过 430 万用户。报告指出，包括 Clean Master 在内的多款知名扩展被用作间谍软件，收集用户浏览历史、搜索记录甚至 Cookie 等敏感数据。

---

7 年布局，4 个阶段

据 Koi.ai 研究人员 Tuval Admoni 披露，ShadyPanda 的攻击活动可以追溯到 7 年前，其策略不断演变，从简单的广告欺诈升级为全面的浏览器监控。

第一阶段：壁纸与生产力工具的“骗局” (2023)

最初，ShadyPanda 发布了 145 款伪装成壁纸或生产力工具的扩展（主要在 Edge 商店）。这些扩展通过注入返利代码（Affiliate Fraud）来获利。当用户访问 Amazon、eBay 等购物网站时，扩展会悄悄替换链接，赚取佣金。虽然技术含量不高，但让攻击者尝到了甜头：用户信任高安装量的扩展，且应用商店的审核主要针对初始提交。

第二阶段：搜索劫持 (2024 年初)

随后，攻击者变得更加大胆。部分新标签页扩展开始劫持用户的搜索流量，将其重定向到 trovi.com 等已知劫持站点。更严重的是，它们开始收集用户的搜索查询（甚至在用户按下回车键之前的实时输入）和特定域名的 Cookie，并将数据发送到攻击者的服务器。

第三阶段：长线潜伏 (The Long Game)

这一阶段最具欺骗性。ShadyPanda 收购或开发了包括 Clean Master 在内的 5 款扩展，并让它们合法运营了数年，积累了数十万用户，甚至获得了商店的“精选”和“验证”标签。 直到 2024 年年中，攻击者通过自动更新机制推送了恶意代码。这些扩展被植入了 远程代码执行 (RCE) 后门，每小时从控制服务器下载并执行任意 JavaScript 代码。这意味着攻击者可以随时改变扩展的行为，从监控转变为勒索或凭证窃取。

第四阶段：间谍软件帝国 (400 万+ 用户)

这是目前影响最大的阶段。报告指出，ShadyPanda 在 Edge 商店运营的另外 5 款扩展（包括拥有数百万用户的扩展）实际上是功能强大的间谍软件。

这些扩展被指控收集并回传以下数据：

• 完整的浏览历史：每一个访问的 URL。
• 搜索查询：记录用户的每一次搜索。
• 页面交互：鼠标点击坐标、停留时间等。
• 浏览器指纹：屏幕分辨率、User Agent、时区等。
• Cookie 和存储数据：拥有读取所有 Cookie 和本地存储的权限。

据称，这些数据被发送到了位于中国的服务器以及 Google Analytics。

---

用户社区反应

此次事件在各大技术社区引发了强烈反响。许多长期用户表示震惊和愤怒，也有用户开始寻找替代方案。

在 Linux.do 社区，用户表达了对数据泄露的担忧：

在 V2EX 上，也有用户发帖感叹：

NodeLoc 社区的用户则表示庆幸未受影响，并互相提醒注意安全。

这些真实的声音反映了用户对隐私安全的重视，以及对曾经信任的工具“背刺”的失望。

技术细节与危害

报告详细分析了 ShadyPanda 的技术手段：

• RCE 后门：感染的扩展会定期检查 api.extensionplay[.]com，下载并执行经过混淆的 JavaScript 代码。
• 对抗分析：恶意代码会检测开发者工具是否打开，如果检测到调试行为，就会停止恶意活动以规避分析。
• 中间人攻击能力：通过 Service Worker，恶意扩展可以拦截和修改网络流量，甚至在 HTTPS 连接中注入恶意内容。

官方回应与争议

针对 Koi.ai 的指控，WeTab 和 Infinity 团队 迅速发布了回应声明（详见官方声明）。

团队表示：

1. Clean Master Chrome 版 早已出售给第三方，后续的恶意更新与原团队无关。
2. WeTab 和 Infinity 是独立运营的产品，代码与 Clean Master 不同，不存在后门或恶意监控。
3. 扩展被下架是因为与 Clean Master 使用了同一开发者账号而被“连坐”，并非因为产品本身包含恶意代码。
4. 收集的数据仅用于产品基础功能（如同步、统计），不涉及隐私，且团队已邀请第三方机构进行安全审计。

---

参考来源：Koi.ai Blog, BleepingComputer, V2EX Discussion