ShadyPanda浏览器扩展供应链攻击:如何入侵了400万Chrome与Edge浏览器

揭秘代号“ShadyPanda”的长期网络间谍活动。攻击者利用浏览器扩展的自动更新机制,将原本合法的工具变为间谍软件,在七年内窃取了超过430万用户的浏览数据、密码和在线身份。

ShadyPanda:浏览器扩展供应链攻击感染了400万Chrome与Edge浏览器

在一次被揭露的最持久的数字间谍活动中,超过430万Chrome和Edge用户多年来被他们原本信任的浏览器扩展程序悄悄窃取了浏览活动、密码和在线身份。这项被网络安全公司Koi Security命名为“ShadyPanda”的活动持续了七年,它利用了全球浏览器生态系统中的一个根本缺陷,将例行的安全更新变成了针对毫无戒心用户的武器。

调查显示,这是一个耐心且精密的操作:攻击者首先发布合法的扩展程序,在官方商店中获得令人垂涎的“精选”状态,然后在数年之后推送恶意更新,将有用的工具转变为全方位的间谍软件。截至2025年12月初,尽管已被公开披露,据称与此次活动相关的扩展程序(其中一个安装量约300万)在Microsoft Edge加载项商店中仍可获取。

耐心的数字窃取

ShadyPanda行动并非入侵浏览器,而是劫持了信任。其方法论揭示了现代数字渗透的蓝图:

第一阶段:合法前端(2018-2023)

攻击者向Chrome网上应用商店和Microsoft Edge加载项商店发布了超过150个良性扩展程序——主要是壁纸管理器、截图工具和生产力增强工具。这些程序通过了标准审核,积累了数百万用户,其中一些甚至获得了官方的“精选”或“已验证”徽章,这是浏览器市场中的最高信任信号。

第二阶段:静默武器化(2024年中)

关键的转折点来自于常规的自动化更新。像“Clean Master”这样拥有稳定用户基础的扩展程序,收到了包含复杂远程代码执行(RCE)框架的更新。这使得攻击者能够随意静默部署任何监控有效载荷,将浏览器变成用户活动的实时直播源。

第三阶段:实时监控与数据收集(进行中)

Edge商店中至少有五个扩展程序,包括广受欢迎的“WeTab”(300万安装量),仍在积极收集:

  • 完整的浏览历史和实时活动
  • 身份验证Cookies(可实现账户接管)
  • 键盘输入和表单数据(包括密码)
  • 设备指纹和位置数据
  • 浏览器会话的屏幕截图

为何会成功

“这次活动暴露了谷歌和微软采用的‘提交时审查’模型的缺陷,”麻省理工学院的供应链安全研究员Elena Vargas博士解释道。“我们将扩展程序视为可信的应用程序,但其更新机制却像一个无人看守的后门一样运作。”

核心的失败在于程序:两大主要浏览器商店仅在扩展程序首次提交时进行主要安全审查。后续的更新在很大程度上是自动化和受信任的,这创造了安全专家所称的“供应链攻击向量”。ShadyPanda只是等待过了初始审查期——有时长达五年——然后才部署其恶意有效载荷。

一项对比分析揭示了平台响应的显著差异:

平台 已识别的恶意扩展数量 关键示例 当前状态(2025年12月) 响应时间框架
Chrome网上应用商店 150+ 个扩展程序 “Clean Master”(RCE后门) 披露后已移除 披露后数天
Microsoft Edge加载项 5+ 个活跃扩展程序 “WeTab”(300万+安装量) 据称仍可获取 无公开移除/声明

超越数字

虽然430万是一个惊人的数字,但其真正的影响是质性的。受影响的用户包括:

  • 商业专业人士:其公司凭证和内部工具访问权限可能已泄露
  • 金融服务用户:其银行会话和个人财务数据已暴露
  • 记者与活动家:其浏览模式和通信可能暴露消息来源或联系人
  • 医疗保健患者:通过受感染的浏览器研究敏感的医疗状况

“这不仅仅是窃取信用卡,”一家全球网络安全公司的事件响应负责人Marcus Thrane指出。“这是对数字生活——关系、兴趣、恐惧和身份——的逐步、全面的测绘,然后卖给最高出价者或用于更有针对性的攻击。”

商业间谍软件管道

有证据表明,被窃取的数据流入了一个不断增长的商业监控生态系统。根据安全公司Unit 221B分析的泄露的威胁行为者通信记录,来自西方用户的浏览器历史数据集在地下论坛中能卖出高价,通常按以下分类:

  • 职业价值:IT管理员、开发人员和高管
  • 基于兴趣的目标定位:政治派别、健康状况、性取向
  • 财务能力:银行、投资和奢侈品浏览记录

这些扩展程序本身似乎通过多种渠道获得经济利益:联盟欺诈(劫持购物佣金)、直接数据销售,以及潜在的定向广告注入。

监管盲区

ShadyPanda活动在一个监管灰色地带运作。与从公司数据库窃取个人可识别信息的数据泄露不同,这构成了直接从用户设备进行的分布式、持续收集。

  • GDPR/CCPA影响:虽然这些法规赋予用户对其数据的权利,但对通过外国基础设施运作的匿名威胁行为者进行执法几乎是不可能的。
  • 平台责任:美国现行对《通信规范法案》第230条的解释通常保护平台免于对第三方内容(可能包括恶意扩展程序)承担责任。
  • 消费者保护缺口:没有机制可以通知数百万受影响的个人,因为没有负责的实体来协调披露。

超越基础安全

对于组织和高级用户:

  • 企业扩展管理:企业应部署集中式浏览器管理,仅允许预先审查过的扩展程序进入白名单,并阻止关键工具的自动更新。
  • 网络级监控:从浏览器到已知恶意服务器(在Koi报告中标识)的异常流量模式应立即触发事件响应。
  • 凭证轮换策略:假设身份验证Cookies已泄露;对敏感应用程序实施强制重新认证。
  • 浏览器隔离:为不同的活动(工作、个人、财务、医疗保健)使用独立的浏览器配置文件或虚拟机。

ShadyPanda不仅仅是一场大规模的恶意软件活动;它标志着对我们日常使用的数字工具天真信任的终结。那些旨在保护我们的机制——自动更新、平台验证徽章、集中式应用商店——被系统地武器化来对付我们。

该活动长达七年的成功揭示了一个令人不安的事实:在今天的数字生态系统中,合法性不是一种永久状态,而是一种无形参与者随时可以撤销的临时状态。随着浏览器成为我们通往世界的主要接口——处理从电子邮件到银行再到医疗保健的一切事务——其扩展生态系统代表了地球上最大、监管最少的软件供应链之一。

除非平台对扩展程序实施持续的行为分析(监控其在获批后的行为,而不仅仅是其在提交时的声明),并且除非监管框架将分布式数据收集视为其代表的系统性威胁,否则ShadyPanda的蓝图将不可避免地被复制。在现代数字生活的架构中,我们发现最方便的门也是最容易忘记上锁的——而有人已经这样自由穿行了七年。

最后的讽刺或许是:这些扩展程序本承诺要增强我们的浏览体验。相反,它们把我们的浏览器变成了全景监视塔,证明了在数字时代,最有价值的商品不是技术,而是我们对其的信任。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次