潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光

一份安全报告揭露了一场持续八年的网络黑产活动。名为 ShadyPanda 的组织利用超过145款浏览器扩展,在 Chrome 和 Edge 平台上累计获得430万次安装。这些扩展通过后续更新逐步植入恶意功能,用以暗中收集用户浏览数据、劫持链接、注入广告,甚至执行远程代码。尽管相关扩展已被下架,但其背后的团队仍在活动,并且部分被点名的开发商(如 WeTab)否认其官方版本存在恶意行为,使得情况更加复杂。

ShadyPanda:潜伏多年的恶意扩展

一个名为 ShadyPanda 的组织被揭露运营着一个庞大的恶意浏览器扩展网络。根据报告,这场活动已持续长达8年。

    • 规模巨大: 共涉及 145 个恶意扩展(20 个 Chrome 扩展和 125 个 Edge 扩展)。
    • 影响广泛: 累计安装量高达 430 万次。
    • 潜伏方式: 扩展在初次安装时通常是无害的,但通过后续的 自动更新 逐步索要更多权限,并暗中注入恶意代码。

这些扩展从外表上看毫无异常:评分高、装的人多、评论也不差。

这种“温水煮青蛙”的策略利用了用户对已安装扩展的信任,使其在不知不觉中成为受害者。

恶意扩展的具体行为

一旦被植入恶意代码,这些扩展就会在后台执行一系列侵犯用户隐私和安全的操作:

    • 悄悄收集用户的浏览行为、搜索记录等 敏感数据
    • 重定向访问链接,在合法网站(如 eBay、亚马逊)的链接中插入推广代码,进行 联盟营销欺诈
    • 劫持用户的搜索查询,将其导向特定网站。
    • 通过后门远程加载脚本,使攻击者可以 随时控制扩展功能

在2024年,部分扩展甚至被植入了能执行远程代码的“后门”。这个后门框架会每小时向特定服务器请求新指令,并能够下载和执行任意 JavaScript 代码,从而完全控制用户的浏览器。同时,它还会使用 AES 加密 将用户的浏览历史和设备指纹等信息发送到黑产服务器。

争议焦点:WeTab 与 Clean Master

报告明确点名了几款知名扩展,其中 WeTab 新标签页和 Clean Master 成为争议的核心。

ShadyPanda 最大的项目并非 Clean Master…其中旗舰产品 WeTab 新标签页(WeTab New Tab Page)的安装量就高达 300 万次,它伪装成一款生产力工具,实则是一个功能强大的监控平台。

根据指控,WeTab 这类间谍软件会收集大量隐私数据,包括:

    • 完整的浏览历史
    • 所有搜索查询(甚至精确到按键操作)
    • 带有坐标的 鼠标点击
    • 浏览器指纹数据(如分辨率、语言、时区等)
    • 页面停留时间、滚动行为等交互数据

WeTab 团队的回应

WeTab 团队对此作出了回应,其核心观点可以总结为:

    • 关于 Clean Master: 该扩展的 Chrome 版本早已 出售给第三方,后续的恶意更新与 WeTab 无关。其在 Edge 商店的版本也已停止运营。
    • 关于 WeTab / Infinity: 团队经过内部自查,未发现 报告中所述的远程后门或恶意行为。扩展之所以被临时下架,是因为与出问题的 Clean Master 使用了同一开发者账号,受到了平台的统一风控处理。
    • 关于 Infinity V+: 团队暗示这是一款冒名顶替的 山寨产品

截至目前,尚未有独立第三方机构对 WeTab 官方版本进行公开的安全分析,也无法独立验证 KOI 报告的指控是否直接指向官方版本。

为何能潜伏长达8年?

这场恶意活动能持续如此之久,主要原因在于其行为的 隐蔽性。攻击者利用了浏览器扩展的 自动更新机制 和用户对其建立的信任。一个原本安全的扩展,在某次看似平常的更新后,就可能变为一个潜伏在系统中的恶意工具,而普通用户很难察觉这一变化。

现状与风险

目前,Google 和 Microsoft 已经从其官方商店下架了所有被报告的恶意扩展。然而,研究人员指出,攻击 仍在进行中,因为 ShadyPanda 是一个跨平台的黑产组织,其活动不仅限于浏览器扩展。

用户应警惕浏览器扩展的安全风险,避免盲目信任高评分或高安装量的产品,并对扩展的权限请求保持谨慎。

附录:相关恶意扩展 ID 列表

用户可以根据此列表检查自己的浏览器是否安装了相关扩展。

命令与控制 (C&C) 域名:

    • extensionplay[.]com
    • yearnnewtab[.]com
    • api.cgatgpt[.]net

数据窃取域名:

    • dergoodting[.]com
    • yearnnewtab[.]com
    • cleanmasters[.]store
    • s-85283.gotocdn[.]com
    • s-82923.gotocdn[.]com

Chrome 扩展 ID:

eagiakjmjnblliacokhcalebgnhellfi

ibiejjpajlfljcgjndbonclhcbdcamai

ogjneoecnllmjcegcfpaamfpbiaaiekh

jbnopeoocgbmnochaadfnhiiimfpbpmf

cdgonefipacceedbkflolomdegncceid

gipnpcencdgljnaecpekokmpgnhgpela

bpgaffohfacaamplbbojgbiicfgedmoi

ineempkjpmbdejmdgienaphomigjjiej

nnnklgkfdfbdijeeglhjfleaoagiagig

Mljmfnkjmcdmongjnnnbbnajjdbojoci

llkncpcdceadgibhbedecmkencokjajg

nmfbniajnpceakchicdhfofoejhgjefb

ijcpbhmpbaafndchbjdjchogaogelnjl

olaahjgjlhoehkpemnfognpgmkbedodk

gnhgdhlkojnlgljamagoigaabdmfhfeg

cihbmmokhmieaidfgamioabhhkggnehm

lehjnmndiohfaphecnjhopgookigekdk

hlcjkaoneihodfmonjnlnnfpdcopgfjk

hmhifpbclhgklaaepgbabgcpfgidkoei

lnlononncfdnhdfmgpkdfoibmfdehfoj

nagbiboibhbjbclhcigklajjdefaiidc

ofkopmlicnffaiiabnmnaajaimmenkjn

ocffbdeldlbilgegmifiakciiicnoaeo

eaokmbopbenbmgegkmoiogmpejlaikea

lhiehjmkpbhhkfapacaiheolgejcifgd

ondhgmkgppbdnogfiglikgpdkmkaiggk

imdgpklnabbkghcbhmkbjbhcomnfdige

Edge 扩展 ID:

bpelnogcookhocnaokfpoeinibimbeff

enkihkfondbngohnmlefmobdgkpmejha

hajlmbnnniemimmaehcefkamdadpjlfa

aadnmeanpbokjjahcnikajejglihibpd

ipnidmjhnoipibbinllilgeohohehabl

fnnigcfbmghcefaboigkhfimeolhhbcp

nlcebdoehkdiojeahkofcfnolkleembf

fhababnomjcnhmobbemagohkldaeicad

nokknhlkpdfppefncfkdebhgfpfilieo

ljmcneongnlaecabgneiippeacdoimaa

onifebiiejdjncjpjnojlebibonmnhog

dbagndmcddecodlmnlcmhheicgkaglpk

fmgfcpjmmapcjlknncjgmbolgaecngfo

kgmlodoegkmpfkbepkfhgeldidodgohd

hegpgapbnfiibpbkanjemgmdpmmlecbc

gkanlgbbnncfafkhlchnadcopcgjkfli

oghgaghnofhhoolfneepjneedejcpiic

fcidgbgogbfdcgijkcfdjcagmhcelpbc

nnceocbiolncfljcmajijmeakcdlffnh

domfmjgbmkckapepjahpedlpdedmckbj

cbkogccidanmoaicgphipbdofakomlak

bmlifknbfonkgphkpmkeoahgbhbdhebh

ghaggkcfafofhcfppignflhlocmcfimd

hfeialplaojonefabmojhobdmghnjkmf

boiciofdokedkpmopjnghpkgdakmcpmb

ibfpbjfnpcgmiggfildbcngccoomddmj

idjhfmgaddmdojcfmhcjnnbhnhbmhipd

jhgfinhjcamijjoikplacnfknpchndgb

cgjgmbppcoolfkbkjhoogdpkboohhgel

afooldonhjnhddgnfahlepchipjennab

fkbcbgffcclobgbombinljckbelhnpif

fpokgjmlcemklhmilomcljolhnbaaajk

hadkldcldaanpomhhllacdmglkoepaed

iedkeilnpbkeecjpmkelnglnjpnacnlh

hjfmkkelabjoojjmjljidocklbibphgl

dhjmmcjnajkpnbnbpagglbbfpbacoffm

cgehahdmoijenmnhinajnojmmlnipckl

fjigdpmfeomndepihcinokhcphdojepm

chmcepembfffejphepoongapnlchjgil

googojfbnbhbbnpfpdnffnklipgifngn

fodcokjckpkfpegbekkiallamhedahjd

igiakpjhacibmaichhgbagdkjmjbnanl

omkjakddaeljdfgekdjebbbiboljnalk

llilhpmmhicmiaoancaafdgganakopfg

nemkiffjklgaooligallbpmhdmmhepll

papedehkgfhnagdiempdbhlgcnioofnd

glfddenhiaacfmhoiebfeljnfkkkmbjb

pkjfghocapckmendmgdmppjccbplccbg

gbcjipmcpedgndgdnfofbhgnkmghoamm

ncapkionddmdmfocnjfcfpnimepibggf

klggeioacnkkpdcnapgcoicnblliidmf

klgjbnheihgnmimajhohfcldhfpjnahe

acogeoajdpgplfhidldckbjkkpgeebod

ekndlocgcngbpebppapnpalpjfnkofff

elckfehnjdbghpoheamjffpdbbogjhie

dmpceopfiajfdnoiebfankfoabfehdpn

gpolcigkhldaighngmmmcjldkkiaonbg

dfakjobhimnibdmkbgpkijoihplhcnil

hbghbdhfibifdgnbpaogepnkekonkdgc

fppchnhginnfabgenhihpncnphhafmac

ghhddclfklljabeodmcejjjlhoaaiban

bppelgkcnhfkicolffhlkbdghdnjdkhi

ikgaleggljchgbihlaanjbkekmmgccam

bdhjinjoglaijpffoamhhnhooeimgoap

fjioinpkgmlcioajfnncgldldcnabffe

opncjjhgbllenobgbfjbblhghmdpmpbj

cbijiaccpnkbdpgbmiiipedpepbhioel

fbbmnieefocnacnecccgmedmcbhlkcpm

hmbacpfgehmmoloinfmkgkpjoagiogai

paghkadkhiladedijgodgghaajppmpcg

bafbmfpfepdlgnfkgfbobplkkaoakjcl

kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi

jelgelidmodjpmohbapbghdgcpncahki

lfgakdlafdenmaikccbojgcofkkhmolj

hdfknlljfbdfjdjhfgoonpphpigjjjak

kpfbijpdidioaomoecdbfaodhajbcjfl

fckphkcbpgmappcgnfieaacjbknhkhin

lhfdakoonenpbggbeephofdlflloghhi

ljjngehkphcdnnapgciajcdbcpgmpknc

ejfocpkjndmkbloiobcdhkkoeekcpkik

ccdimkoieijdbgdlkfjjfncmihmlpanj

agdlpnhabjfcbeiempefhpgikapcapjb

mddfnhdadbofiifdebeiegecchpkbgdb

alknmfpopohfpdpafdmobclioihdkhjh

hlglicejgohbanllnmnjllajhmnhjjel

iaccapfapbjahnhcmkgjjonlccbhdpjl

ehmnkbambjnodfbjcebjffilahbfjdml

ngbfciefgjgijkkmpalnmhikoojilkob

laholcgeblfbgdhkbiidbpiofdcbpeeo

njoedigapanaggiabjafnaklppphempm

fomlombffdkflbliepgpgcnagolnegjn

jpoofbjomdefajdjcimmaoildecebkjc

nhdiopbebcklbkpfnhipecgfhdhdbfhb

gdnhikbabcflemolpeaaknnieodgpiie

bbdioggpbhhodagchciaeaggdponnhpa

ikajognfijokhbgjdhgpemljgcjclpmn

lmnjiioclbjphkggicmldippjojgmldk

ffgihbmcfcihmpbegcfdkmafaplheknk

lgnjdldkappogbkljaiedgogobcgemch

hiodlpcelfelhpinhgngoopbmclcaghd

mnophppbmlnlfobakddidbcgcjakipin

jbajdpebknffiaenkdhopebkolgdlfaf

ejdihbblcbdfobabjfebfjfopenohbjb

ikkoanocgpdmmiamnkogipbpdpckcahn

ileojfedpkdbkcchpnghhaebfoimamop

akialmafcdmkelghnomeneinkcllnoih

eholblediahnodlgigdkdhkkpmbiafoj

ipokalojgdmhfpagmhnjokidnpjfnfik

hdpmmcmblgbkllldbccfdejchjlpochf

iphacjobmeoknlhenjfiilbkddgaljad

jiiggekklbbojgfmdenimcdkmidnfofl

gkhggnaplpjkghjjcmpmnmidjndojpcn

opakkgodhhongnhbdkgjgdlcbknacpaa

nkjomoafjgemogbdkhledkoeaflnmgfi

ebileebbekdcpfjlekjapgmbgpfigled

oaacndacaoelmkhfilennooagoelpjop

ljkgnegaajfacghepjiajibgdpfmcfip

hgolomhkdcpmbgckhebdhdknaemlbbaa

bboeoilakaofjkdmekpgeigieokkpgfn

dkkpollfhjoiapcenojlmgempmjekcla

emiocjgakibimbopobplmfldkldhhiad

nchdmembkfgkejljapneliogidkchiop

lljplndkobdgkjilfmfiefpldkhkhbbd

hofaaigdagglolgiefkbencchnekjejl

hohobnhiiohgcipklpncfmjkjpmejjni

jocnjcakendmllafpmjailfnlndaaklf

bjdclfjlhgcdcpjhmhfggkkfacipilai

ahebpkbnckhgjmndfjejibjjahjdlhdb

enaigkcpmpohpbokbfllbkijmllmpafm

bpngofombcjloljkoafhmpcjclkekfbh

cacbflgkiidgcekflfgdnjdnaalfmkob

ibmgdfenfldppaodbahpgcoebmmkdbac