駭客組織ShadyPanda透過瀏覽器延伸套件市集，散布間諜軟體與後門程式

駭客透過瀏覽器延伸套件散布惡意程式的情況，不時有事故傳出，如今有駭客團體活動長達7年才被發現，藉由長期建立信任、累積用戶，然後再利用更新機制發動攻擊。

資安業者Koi Security揭露駭客組織ShadyPanda的活動，該組織的活動最早可追溯到2018年，迄今感染430萬名Chrome與Edge用戶。值得留意的是，部分活動現在仍持續進行。

這些活動大致分成兩種型態，一種是規模較大的間諜軟體活動，駭客利用WeTab等5款惡意套件，收集使用者瀏覽的URL、搜尋記錄，以及滑鼠點選的內容，並傳送到位於中國的伺服器。上述的惡意套件總共被下載400萬次，其中WeTab有300萬次。

另一種型態是部署後門程式，讓攻擊者能遠端執行任何程式碼（RCE）的活動。駭客經營Clean Master等5款套件，這些套件經過市集驗證，並被評為精選套件，直到2024年中才被武器化，一旦使用者安裝，這些套件每個小時下載JavaScript指令碼並執行，而且，也同樣會監控使用者瀏覽過的網站，並洩露經加密處理的瀏覽記錄，以及收集完整的上網特徵。這些套件總共被下載了30萬次。

針對ShadyPanda的攻擊行動，Koi Security認為可區分為4波，第一波是透過大量的套件進行廣告詐騙，駭客於2023年上架125個Edge延伸套件，以及20個Chrome套件，這些套件駭客宣稱提供桌布功能，或是生產力應用程式，然而，只要使用者點擊eBay、Amazon，或Booking.com，延伸套件就會悄悄地注入特定的聯盟追蹤碼，一旦使用者進行購買行為，駭客就能收取傭金；此外，這些套件也會部署Google Analytics追蹤工具，並將用戶上網記錄出售變現。

到了2024年初，ShadyPanda採取較為大膽的策略，試圖主動控制瀏覽器，其中一個惡意套件是Infinity V+，駭客標榜是分頁生產力工具，但也同時挾持瀏覽器的核心功能，其中一個是將搜尋重新導向至trovi[.]com，以此將搜尋記錄與搜尋結果變現；另一種功能是洩露使用者的Cookie，此套件會讀取特定網域的Cookie，並傳送追蹤資料，藉此監控上網行為。

第三波活動發生在2024年中期，這次ShadyPanda利用Clean Master等5個惡意套件從事攻擊，其中有3個是在2018至2019年上架，這些套件全部合法運作數年，並在建立信任及累積用戶數量後，在達到超過30萬次下載的時候推送惡意更新。值得留意的是，他們在惡意更新之前，部署了秘密追蹤系統，目的是為了讓後續惡意更新的推送最佳化。

這些惡意套件會導致瀏覽器存取遠端程式碼執行框架，每小時檢查api.extensionplay[.]com是否有新的指令，然後下載JavaScript指令碼，並以完整的瀏覽器API執行。Koi Security指出，攻擊者並非直接部署特定功能的惡意軟體，而是藉由這種後門管道，讓ShadyPanda指定於受害電腦載入的攻擊工具。

第四波攻擊是專門針對Edge用戶而來，ShadyPanda上架5個惡意套件，累計安裝超過400萬次，其中有兩款是完整的間諜軟體。其中的WeTab會收集大量用戶資料，傳送到17個不同的網域，包含位於中國的8臺百度伺服器與7臺WeTab伺服器，此外，該套件也會將資料傳送到Google Analytics。

究竟WeTab搜刮那些東西？包括即時傳送完整的上網記錄、以按鍵層級監控使用者搜尋內容、滑鼠點擊追蹤、瀏覽器指紋（Fingerprint），以及網頁互動資料（網頁停留時間，捲動操作等）。

針對ShadyPanda活動，突顯了瀏覽器延伸套件市集的審核機制弱點，市集在開發者上架的過程進行嚴格的檢查，然而只要成功通過審核，套件後續的狀態往往就不會再追蹤。因此原本保護用戶的自動更新機制，也變成駭客發動攻擊的途徑。而上述的套件管理機制，在ShadyPanda犯案的7年當中，仍維持大致的作法，使得這些駭客能依循相同管道，散布有問題的套件。