Багаторічна операція ShadyPanda, детально досліджена фахівцями Koi Security, показала, наскільки серйозною загрозою можуть стати, на перший погляд, корисні розширення для браузера. Зловмисникам вдалося розгорнути мережу з 145 шкідливих розширень для Google Chrome та Microsoft Edge, які сумарно було встановлено понад 4,3 млн разів. Кампанія стартувала ще у 2018 році й досі частково залишається активною.
Операція ShadyPanda: масштаб та архітектура атаки
За даними Koi Security, у межах кампанії були створені 20 розширень для Chrome і 125 для Edge. Важливою особливістю ShadyPanda стала поетапна еволюція від відносно безпечного партнерського шахрайства до повноцінного інструмента кібершпигунства, здатного виконувати довільний код у контексті браузера.
Перші розширення з’явилися в офіційних магазинах ще у 2018 році, але явно шкідлива активність почала фіксуватися лише з 2023-го. Це типова тактика для подібних кампаній: спочатку розширення довго працюють «чисто», формують репутацію та аудиторію, а вже потім через оновлення отримують небезпечний функціонал.
Етапи еволюції шкідливих розширень ShadyPanda
Етап 1: партнерське шахрайство під виглядом корисних утиліт
На старті автори ShadyPanda просували розширення як засоби для зміни шпалер, персоналізації вкладок та підвищення продуктивності. Основне завдання полягало в партнерському шахрайстві: плагіни непомітно підміняли посилання користувачів, додаючи власні партнерські ідентифікатори до сервісів на кшталт eBay, Booking та Amazon. Таким чином зловмисники отримували комісійні з покупок без явного втручання в акаунти.
Етап 2: перехоплення пошуку та викрадення cookie
На початку 2024 року схема ускладнилася. Одне з розширень — Infinity V+ — почало перехоплювати пошукові запити та перенаправляти їх на контрольовані зловмисниками сайти, зокрема ресурси виду trovi[.]com та піддомени gotocdn. Паралельно розширення займалося крадіжкою cookie‑файлів, що створює ризик захоплення сесій на веб‑сайтах і доступу до облікових записів без введення пароля.
Етап 3: бекстор із віддаленим виконанням JavaScript‑коду
Найнебезпечнішою стала третя фаза. П’ять розширень, опублікованих ще у 2018–2019 роках і таких, що встигли зібрати позитивні відгуки, через оновлення отримали бекстор. Вбудований модуль дозволяв віддалено виконувати довільний JavaScript‑код із повним доступом до API браузера, тобто фактично контролювати вкладки, вміст сторінок та дії користувача.
Ключову роль на цьому етапі відіграло розширення Clean Master, яке встановили близько 200 000 разів. Загалом плагіни з бексторним функціоналом отримали приблизно 300 000 установок. Компрометовані браузери щогодини зверталися до C2‑серверу (Command‑and‑Control) по нові команди, перетворюючись на повноцінних клієнтів у інфраструктурі кібершпигунської операції.
Етап 4: масовий збір даних через розширення для Microsoft Edge
Четвертий, актуальний на момент публікації дослідження, етап пов’язаний із п’ятьма розширеннями для Microsoft Edge, опублікованими компанією Starlab Technology у 2023 році. Ці доповнення орієнтовані насамперед на прихований збір даних і були встановлені більш ніж 4 млн разів, що робить їх одним із найбільш масових векторів ShadyPanda.
Які дані збирають шкідливі розширення Chrome та Edge
За інформацією Koi Security, зібрані розширеннями дані надсилалися на 17 доменів, розміщених у Китаї. Типовий набір викраденої інформації включає:
- історію переглядів і пошукові запити;
- інформацію про відвідувані сайти та активні вкладки;
- дані про браузер та пристрій (версія, мова, ОС, роздільна здатність екрана);
- ідентифікатори та технічні метадані для довгострокового відстеження користувача;
- cookie‑файли та інші доступні розширенню дані сесій.
Дослідники наголошують, що за своєю архітектурою ці плагіни можуть у будь-який момент отримати через оновлення більш агресивний бекстор, подібний до того, що використовувався у Clean Master. Ознак такої ескалації поки не виявлено, однак закладена в коді гнучкість залишає зловмисникам значний простір для подальших атак.
Реакція Google і Microsoft та ризики для користувачів
Після публікації звіту Google видалив виявлені шкідливі розширення з Chrome Web Store. Водночас у каталозі Microsoft Edge Add-ons на момент дослідження залишалися доступними щонайменше два підозрілі плагіни: WeTab (близько 3 млн користувачів) та Infinity New Tab (Pro) (орієнтовно 650 000 установок).
Ризики для постраждалих користувачів значно перевищують нав’язливу рекламу чи підміну трафіку. Можливість виконувати довільний JavaScript у браузері відкриває шлях до доступу до вмісту сторінок, токенів авторизації, форм введення, даних інтернет‑банкінгу, корпоративних порталів та інших чутливих ресурсів.
Експерти рекомендують негайно перевірити список розширень браузера, видалити всі підозрілі або непотрібні доповнення та змінити паролі до важливих акаунтів — електронної пошти, соціальних мереж, хмарних сервісів, банківських додатків. За наявності двофакторної автентифікації варто переглянути прив’язані пристрої й активні сесії, а також оновити резервні коди.
Ситуація з ShadyPanda демонструє, що розширення для браузера потребують такого ж уважного контролю, як і будь‑яке інше програмне забезпечення. Регулярний аудит встановлених плагінів, обмеження «зайвих» доповнень, довіра лише до відомих розробників та впровадження політик керування розширеннями в організаціях суттєво знижують імовірність компрометації. Чим менше неперевірених розширень у браузері, тим нижча ймовірність стати частиною чергової кампанії на кшталт ShadyPanda — і тим вищий рівень особистої та корпоративної кібербезпеки.
