ShadyPanda供应链攻击:恶意浏览器插件感染430万Chrome与Edge用户

一场持续七年的数字间谍活动“ShadyPanda”通过官方商店的浏览器扩展程序感染了超过430万用户。攻击者先发布合法扩展,积累数百万用户后,再通过恶意更新将其转变为间谍软件,窃取浏览记录、密码和身份数据。文章深入剖析了攻击手法、平台应对差异及安全建议。

ShadyPanda扩展供应链攻击感染430万Chrome与Edge浏览器

在一项迄今为止持续时间最长的数字间谍活动曝光中,超过430万Chrome和Edge用户的浏览活动、密码和在线身份被他们信任的浏览器扩展程序悄无声息地窃取了数年之久。网络安全公司Koi Security将这场持续七年的活动命名为“ShadyPanda”,它利用了全球浏览器生态系统中的一个根本性缺陷,将常规的安全更新变成了针对毫无戒备用户的武器。

调查揭示了一个耐心且精密的操作:攻击者首先发布合法的扩展程序,在官方商店中获得令人垂涎的“精选”状态,然后在数年之后推送恶意更新,将这些有用的工具转变为全方位的间谍软件。截至2025年12月初,与该活动相关的扩展程序,包括一个安装量约300万的扩展,据报道仍可在Microsoft Edge加载项商店中找到,尽管已被公开披露。

耐心的数字窃取

ShadyPanda行动并非入侵浏览器本身,而是劫持了信任。其方法论揭示了现代数字渗透的蓝图:

第一阶段:合法前台(2018-2023年)

攻击者向Chrome网上应用店和Microsoft Edge加载项商店发布了超过150个良性扩展程序——主要是壁纸管理器、截图工具和生产力增强工具。这些扩展通过了标准审核,积累了数百万用户,其中一些甚至获得了官方的“精选”或“已验证”徽章,这是浏览器市场中最高的信任信号。

第二阶段:悄无声息的武器化(2024年中)

关键的转折点是通过常规的自动化更新到来。像“Clean Master”这样拥有稳定用户基础的扩展程序,收到了包含复杂远程代码执行框架的更新。这使得攻击者能够随意、无声地部署任何监控负载,将浏览器变成用户活动的实时馈送。

第三阶段:实时监控与数据窃取(进行中)

Edge商店中至少有五个扩展程序,包括广受欢迎的“WeTab”(安装量300万),仍在持续积极地收集:

  • 完整的浏览历史和实时活动
  • 身份验证Cookie(用于账户接管)
  • 击键和表单数据(包括密码)
  • 设备指纹和位置数据
  • 浏览器会话的屏幕截图

为何会成功

麻省理工学院供应链安全研究员Elena Vargas博士解释道:“这次活动暴露了谷歌和微软采用的‘提交时审查’模式的根本缺陷。我们将扩展程序视为可信赖的应用程序,但它们的更新机制却像一个无守卫的后门一样运行。”

核心的程序性缺陷在于:两大主要浏览器商店仅在扩展程序首次提交时进行主要的安全审查。随后的更新基本上是自动化且被信任的,这造成了安全专业人士所称的“供应链攻击向量”。ShadyPanda只是在初始审查期后——有时长达五年——才部署其恶意负载。

一项比较分析揭示了平台反应的显著差异:

平台 已识别的恶意扩展数量 关键示例 当前状态(2025年12月) 反应时间框架
Chrome网上应用店 150+ 扩展 “Clean Master”(RCE后门) 披露后已移除 披露后数天
Microsoft Edge加载项 5+ 活跃扩展 “WeTab”(安装量300万+) 据报道仍可用 无公开移除/声明

超越数字

尽管430万是一个惊人的数字,但真正的影响是质性的。受影响的用户包括:

  • 商业专业人士:其公司凭证和内部工具访问权限可能已泄露
  • 金融服务用户:其银行会话和个人财务数据被暴露
  • 记者与活动家:其浏览模式和通讯可能暴露消息来源或联系人
  • 医疗保健患者:通过被入侵的浏览器研究敏感医疗状况

一家全球网络安全公司的事件响应负责人Marcus Thrane指出:“这不仅仅是信用卡被盗。这是对数字生活的逐步、全面的测绘——关系、兴趣、恐惧和身份——被卖给出价最高者或被用来发动更有针对性的攻击。”

商业间谍软件管道

有证据表明,被窃取的数据流入了一个不断增长的商业监控生态系统。根据安全公司Unit 221B分析的泄露的威胁行为者通讯,来自西方用户的浏览器历史数据集在地下论坛中能卖出高价,通常按以下类别分类:

  • 职业价值:IT管理员、开发人员和高管
  • 基于兴趣的目标:政治立场、健康状况、性取向
  • 财务能力:银行、投资和奢侈品浏览记录

这些扩展程序本身似乎通过多种途径获得经济利益:联盟欺诈(劫持购物佣金)、直接数据销售,以及潜在的定向广告注入。

监管盲区

ShadyPanda活动在一个监管灰色地带运作。与从公司数据库窃取个人身份信息的数据泄露不同,这构成了一个从用户设备直接进行的分布式、持续收集。

  • GDPR/CCPA影响:虽然这些法规赋予用户对其数据的权利,但针对通过外国基础设施运作的匿名威胁行为者执行法规几乎是不可能的。
  • 平台责任:美国目前对《通信规范法案》第230条的解释通常保护平台免受第三方内容(可能包括恶意扩展程序)的责任追究。
  • 消费者保护漏洞:不存在通知数百万受影响个人的机制,因为没有负责协调披露的实体。

超越基本安全

对于组织和高级用户:

  • 企业扩展管理:企业应部署集中式浏览器管理,仅允许预审查的白名单扩展程序,并对关键工具阻止自动更新。
  • 网络级监控:从浏览器到已知恶意服务器(Koi报告中已识别)的异常流量模式应立即触发事件响应。
  • 凭证轮换策略:假设身份验证Cookie已泄露;对敏感应用实施强制重新认证。
  • 浏览器隔离:为不同活动(工作、个人、金融、医疗)使用独立的浏览器配置文件或虚拟机。

ShadyPanda不仅仅是一场大规模的恶意软件活动;它标志着我们日常使用的数字工具不再能天真地信任。那些旨在保护我们的机制——自动更新、平台验证徽章、集中式应用商店——被系统地武器化用来对付我们。

该活动七年的成功揭示了一个令人不安的真相:在今天的数字生态系统中,合法性不是一种永久状态,而是一种隐形行为者随时可以撤销的临时条件。随着浏览器成为我们与世界交互的主要界面——处理从电子邮件到银行到医疗保健的一切——它们的扩展生态系统构成了地球上最大、监管最少的软件供应链之一。

除非平台实施对扩展程序的持续行为分析(监控它们在批准后的行为,而不仅仅是提交时的声明),并且除非监管框架承认分布式数据收集是一种系统性威胁,否则ShadyPanda的蓝图将不可避免地被复制。在现代数字生活的架构中,我们发现最方便的门也是最容易被遗忘上锁的——而有人已经穿行了七年。

最终的讽刺或许是:这些扩展程序本承诺增强我们的浏览体验。相反,它们将我们的浏览器变成了全景监控器,证明了在数字时代,最有价值的商品不是技术,而是我们赋予它的信任。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次