安全公司 Koi.ai 披露 ShadyPanda 组织长达 7 年的恶意软件活动,感染超过 430 万 Chrome 和 Edge 用户,涉及 Clean Master、WeTab、Infinity 等知名扩展。
摘要:近日,安全公司 Koi.ai 发布了一份重磅报告,揭露了一个名为 ShadyPanda 的威胁组织。该组织在过去 7 年中,通过 Chrome 和 Edge 商店分发恶意浏览器扩展,感染了超过 430 万用户。报告指出,包括 Clean Master、WeTab、Infinity 在内的多款知名扩展被用作间谍软件,收集用户浏览历史、搜索记录甚至 Cookie 等敏感数据。
据 Koi.ai 研究人员 Tuval Admoni 披露,ShadyPanda 的攻击活动可以追溯到 7 年前,其策略不断演变,从简单的广告欺诈升级为全面的浏览器监控。
最初,ShadyPanda 发布了 145 款伪装成壁纸或生产力工具的扩展(主要在 Edge 商店)。这些扩展通过注入返利代码(Affiliate Fraud)来获利。当用户访问 Amazon、eBay 等购物网站时,扩展会悄悄替换链接,赚取佣金。虽然技术含量不高,但让攻击者尝到了甜头:用户信任高安装量的扩展,且应用商店的审核主要针对初始提交。
随后,攻击者变得更加大胆。以 Infinity V+ 为代表的扩展开始劫持用户的搜索流量,将其重定向到 trovi.com 等已知劫持站点。更严重的是,它们开始收集用户的搜索查询(甚至在用户按下回车键之前的实时输入)和特定域名的 Cookie,并将数据发送到攻击者的服务器。
这一阶段最具欺骗性。ShadyPanda 收购或开发了包括 Clean Master 在内的 5 款扩展,并让它们合法运营了数年,积累了数十万用户,甚至获得了商店的“精选”和“验证”标签。 直到 2024 年年中,攻击者通过自动更新机制推送了恶意代码。这些扩展被植入了 远程代码执行 (RCE) 后门,每小时从控制服务器下载并执行任意 JavaScript 代码。这意味着攻击者可以随时改变扩展的行为,从监控转变为勒索或凭证窃取。
这是目前影响最大的阶段。报告指出,ShadyPanda 在 Edge 商店运营的另外 5 款扩展(包括拥有 300 万用户的 WeTab 和 Infinity)实际上是功能强大的间谍软件。
这些扩展被指控收集并回传以下数据:
据称,这些数据被发送到了位于中国的服务器以及 Google Analytics。
此次事件在各大技术社区引发了强烈反响。许多长期用户表示震惊和愤怒,也有用户开始寻找替代方案。
在 Linux.do 社区,用户表达了对数据泄露的担忧:
"我花了这么久弄的个性化,全没了!恶意插件我**" —— Acheron "一直在用 wetab,马上卸载了,换 itab" —— Cknight "中招了,不知道到底偷了什么" —— hjie
在 V2EX 上,也有用户发帖感叹:
"笑不出来,用了好多年的 Infinity 新标签页 疑似被投毒"
NodeLoc 社区的用户则表示庆幸未受影响,并互相提醒注意安全。
这些真实的声音反映了用户对隐私安全的重视,以及对曾经信任的工具“背刺”的失望。
报告详细分析了 ShadyPanda 的技术手段:
立即下载 Chromeapi.extensionplay[.]com,下载并执行经过混淆的 JavaScript 代码。针对 Koi.ai 的指控,WeTab 和 Infinity 团队 迅速发布了回应声明(详见官方声明)。
团队表示:
无论事实如何,浏览器扩展的安全风险始终存在。安全专家建议:
目前,Microsoft Edge 和 Chrome 商店已下架了部分涉事扩展,但据报告称,部分扩展在 Edge 商店仍可访问。用户应保持警惕,根据自身判断决定是否继续使用相关产品。
