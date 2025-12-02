Специалисты компании Koi Security выявили масштабную хакерскую кампанию ShadyPanda, в рамках которой распространялись вредоносные расширения для браузеров Chrome и Edge. Общее число установок малвари превысило 4,3 млн, а кампания длилась с 2018 года.

Особенность этих атак заключалась в постепенной эволюции расширений: изначально безобидные инструменты со временем превращались в опасное шпионское ПО. За годы активности злоумышленники создали 145 вредоносных расширений — 20 для Chrome и 125 для Edge.

Исследователи пишут, что первые расширения ShadyPanda появились еще в 2018 году, однако вредоносная активность началась только в 2023 году.

На первом этапе своей кампании хакеры распространяли расширения, маскирующиеся под утилиты для смены обоев и повышения продуктивности. Эти расширения занимались партнерским мошенничеством: внедряли коды отслеживания от крупных платформ вроде eBay, Booking и Amazon в ссылки пользователей, чтобы получать комиссию с их покупок.

В начале 2024 года схема начала эволюционировать. Так, расширение Infinity V+ начало перехватывать поисковые запросы, перенаправляя их на подконтрольные злоумышленникам сайты (например, trovi[.]com и поддомены gotocdn) и похищая cookie-файлы пользователей.

Третий этап кампании оказался наиболее опасным. Пять расширений, часть из которых была загружена еще в 2018-2019 годах и успела заработать положительную репутацию, получили обновление, содержащее бэкдор для удаленного выполнения кода. Это превратило их в настоящие инструменты для кибершпионажа.

Одним из ключевых элементов этой атаки было расширение Clean Master, которое на момент обнаружения насчитывало 200 000 установок. Общее количество установок расширений с этой полезной нагрузкой достигло 300 000.

В результате внедрения малвари зараженные браузеры каждый час проверяли специальный сервер на наличие новых команд и выполняли произвольный JavaScript-код с полным доступом к функциям браузера.

Четвертая фаза кампании ShadyPanda продолжается до сих пор и связана с пятью расширениями для Microsoft Edge, которые были опубликованы компанией Starlab Technology еще в 2023 году. Эти расширения установили более 4 млн раз, и они активно собирают конфиденциальную информацию о пользователях.

Расширения отправляют собранные данные на 17 доменов, расположенных в Китае. В список похищаемой информации входят:

полная история посещенных сайтов;

поисковые запросы и нажатия клавиш;

клики мышью с точными координатами;

фингерпринтинг устройств;

содержимое локального хранилища, данные сессий и файлы cookie.

Исследователи отмечают, что технически эти расширения в любой момент могут получить через обновление и более опасный бэкдор, аналогичный тому, что использовался в Clean Master, однако пока признаков такой активности не зафиксировано.

На момент публикации отчета специалистов разработчики Google уже удалили вредоносные расширения из Chrome Web Store. Однако в Microsoft Edge Add-ons по-прежнему были доступны вредоносные расширения WeTab с 3 млн пользователей и Infinity New Tab (Pro) с 650 000 установок.

Эксперты Koi Security настоятельно рекомендуют пользователям немедленно удалить опасные расширения и сменить пароли во всех онлайн-аккаунтах.

Полный список идентификаторов вредоносных расширений доступен в отчете компании, а наиболее популярные из них перечислены ниже: