调查发现,ShadyPanda采取了一种长期潜伏策略而非立即发动攻击。该组织曾经多年运营名为"Clean Master"等合规的浏览器扩展程序,借此积累用户信任并成功获取谷歌与微软的官方认证。
恶意软件运作机制
高级威胁组织"ShadyPanda"通过长达七年的持续攻击活动,已成功侵入超过430万Chrome和Edge浏览器用户。该组织利用用户对浏览器应用商店的信任,将标有"精选"和"已验证"标签的扩展程序武器化,悄然部署远程代码执行后门并开展大规模间谍活动,全程未触发传统安全警报。

研究表明,ShadyPanda倾向于采用长期渗透策略而非短期攻击。该组织通过运营"Clean Master"等看似合法的扩展程序多年,逐步建立用户基础并取得谷歌与微软的信任认证。直到2024年中旬,当用户量突破30万后,他们悄然推送恶意更新,将扩展程序转变为每小时执行远程代码的载体。受感染的浏览器会定时连接命令控制服务器(api.extensionplay[.]com),下载并执行拥有完整浏览器权限的任意JavaScript代码。
大规模数据窃取
虽然远程代码执行攻击精准度高,但ShadyPanda在第四阶段攻击中已形成工业化规模。微软Edge商店中包括热门扩展"WeTab"在内的五个活跃扩展,目前正被超过400万用户使用。与已下架的Chrome扩展不同,这些Edge插件仍在持续运行,不间断地收集完整的浏览器指纹、搜索查询和访问记录,并将数据传往位于中国的服务器(包括百度及私有基础设施)。
该恶意软件能够以像素级精度记录鼠标点击轨迹,实时窃取浏览历史,将企业和个人浏览器变为开放的监控设备。根据Koi Security最新报告,ShadyPanda恶意软件收集的具体数据涵盖:
浏览器安全模型缺陷
ShadyPanda的成功攻击暴露出浏览器安全模型的关键缺陷:信任机制是静态的,而代码却是动态的。攻击者通过初始审核后,蛰伏多年才武器化自动更新通道,绕过了Chrome和Edge商店的主要防护机制。原本用于保障用户安全的自动更新功能,最终成为穿透企业防火墙的直接感染载体。
