Cercetătorii Koi Security au dezvăluit o campanie denumită ShadyPanda, prin care extensii aparent utile pentru Chrome și Edge au fost transformate în instrumente de spionaj, având milioane de instalări în magazinele oficiale. Urmărind firul acțiunilor, există referințe încă din 2018, însă abia în 2023 și 2024 s-au observat semne evidente că operatorii au transformat aplicațiile într-un mecanism complex de fraudă și exfiltrare de date, amintind de alte abuzuri ale economiei extensiilor în care actualizările automate sau reputația acumulată erau folosite pentru escaladarea privilegiilor.
Campania ShadyPanda cuprinde în total 145 de extensii malițioase: aproximativ 20 au fost publicate în Chrome Web Store și 125 în Microsoft Edge Add-ons, iar numărul total de instalări depășește 4, 3 milioane, existând cel puțin o extensie listată la trei milioane de utilizatori pe Edge. Deși Google a scos din magazin majoritatea pachetelor, cercetătorii au găsit în continuare extensii active pe platforma Microsoft, indicând că supravegherea este inconsistentă între ecosisteme. Rămâne neclar dacă unele instalări au fost umflate artificial pentru a părea mai legitime.
Operațiunea s-a derulat în mai multe etape. Primele versiuni încărcate în 2018 păreau simple unelte de productivitate sau pagini noi tip wallpaper, iar în 2023 o parte dintre ele au început să practice affiliate fraud, injectând coduri de urmărire de pe site-uri precum eBay, Booking.com și Amazon în linkuri legitime pentru a obține comisioane. La începutul lui 2024, extensia Infinity V+ a făcut un pas înainte prin deturnarea rezultatelor de căutare, redirecționând interogările către trovi.com, trimițând cookie-uri către dergoodting.com și urcând căutările către subdomenii gotocdn, semnalând o escaladare a curajului operatorilor.
Mai târziu în 2024 au fost modificate cinci extensii care, între timp, și-au câștigat o bună reputație; un update le-a introdus un backdoor capabil să execute cod de la distanță. Practic, fiecare browser infectat rulează un cadru de execuție pentru remote code execution care, la fiecare oră, interoghează api.extensionplay.com pentru instrucțiuni noi, descarcă JavaScript arbitrar și îl execută cu acces total la API-urile browserului. Componenta aceasta nu are o funcționalitate fixă, ci funcționează ca o ușă din spate ce poate primi comenzi variate. Backdoor-ul colectează și transmite date precum adresele URL vizitate, informații de fingerprinting și identificatori persistenti către api.cleanmasters.store, folosind criptare AES pentru transport.
Un exemplu notabil este extensia Clean Master, identificată pe Chrome cu aproximativ 200.000 de instalări când a fost marcată ca malițioasă, iar extensiile care conțineau același payload au ajuns la circa 300.000 de instalări în total. Faza finală a atacului, care pare încă activă, vizează cinci extensii pentru Edge publicate în 2023 sub numele Starlab Technology, care au acumulat în jur de patru milioane de instalări. Cercetătorii au remarcat că componenta spyware a acestor extensii poate colecta istoricul de navigare, interogările de căutare și tastările, coordonatele click-urilor de mouse, date de fingerprinting, conținut din local sau session storage și cookie-uri, trimițând totul către 17 domenii cu legături în China. În plus, aceste extensii dispun de permisiunile necesare pentru a primi același tip de backdoor printr-un update, chiar dacă la momentul detectării nu erau semne că acest lucru s-a întâmplat.
Echipa Koi a publicat o listă completă cu identitățile extensiilor implicate, iar recomandarea fermă pentru utilizatori este să dezinstaleze imediat extensiile suspecte și să își reseteze parolele conturilor folosite online. BleepingComputer a contactat Google și Microsoft pentru comentarii; la momentul raportării încă mai erau pe Edge Add-ons pachete precum WeTab 新标签页 cu trei milioane de utilizatori și Infinity New Tab (Pro) cu 650.000, semnalând că unele extensii rămân accesibile. Dezvoltatorii cunoscuți ai extensiilor au fost, de asemenea, contactați, fără răspuns la redactare.
Extensia Clean Master a fost semnalată cu 200.000 de instalări. Abuzul mecanismelor de actualizare și al reputației acumulate demonstrează cât de vulnerabile pot fi ecosistemele browserelor când verificarea editorială sau automată nu ține pasul cu tacticile operatorilor. Diferențele între magazine, modul în care sunt gestionate permisiunile și ușurința cu care un cod legitim poate deveni malițios printr-un update sunt aspecte practice pe care orice utilizator de extensii ar trebui să le ia în considerare: uită-te la numărul de instalări, la autor și la recenzii, dar nu numai la acestea. Care sunt extensiile pe care le folosești și cât de des îți verifici permisiunile?
Fii primul care comentează