Home
潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光

业界消息 2025/12/03 0

过去很长时间以来,我们都习惯了把注意力放在手机 App 权限AI 隐私大公司数据泄露等安全事件上,却常常忘了:每天打开浏览器时,那些静静躺在角落里的扩展,也可能是最危险的入口。

就在2025年12月1日,全球知名的网络安全媒体 BleepingComputer 发布了一篇文章《ShadyPanda 浏览器扩展程序在恶意活动中累计安装量达 430 万次》,根据 KOI 《4.3 Million Browsers Infected: Inside ShadyPanda’s 7-Year Malware Campaign》的研究,揭露了一批恶意浏览器扩展,长达8年时间,累计安装有 430 万次。它们从外表上看毫无异常:评分高、装的人多、评论也不差。

这些恶意扩展一直在悄悄做一件事:收集用户行为、操控浏览器、注入广告、劫持访问路径,甚至疑似与黑产存在关联。

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 1

ShadyPanda 的恶意扩展

根据 BleepingComputer 的报告,这个名为 ShadyPanda 组织,多年来共运营了 145 个恶意扩展(20 个 Chrome 扩展和 125 个 Edge 扩展)。

这些扩展并不会在开始的时候就出现问题,而是在长期更新的过程中,通过逐渐索要权限、暗中注入代码的方式,逐步转变成恶意工具。

恶意扩展都做了什么?

这些扩展会在用户毫无察觉的情况下执行一系列操作,包括:

  • 悄悄收集浏览行为、搜索记录等敏感数据
  • 重定向访问链接,在网页中插入推广参数
  • 劫持部分网站访问路径,影响用户看到的内容
  • 远程加载脚本,使扩展功能可以被攻击者随时控制

具体来说,这些扩展程序将 eBay、Booking.com 和亚马逊的跟踪代码注入合法链接,从事联盟营销欺诈,从用户的购买行为中获得收入。

2024 年初,一款名为 Infinity V+ 的扩展程序开始执行搜索劫持,它们将搜索查询重定向到 trovi[.]com,将用户的 cookie 泄露到 dergoodting[.]com,并将用户的搜索查询泄露到 gotocdn 子域。

2024 年,该系列中的五个扩展程序被修改,加入了通过更新提供的“后门”,使它们能够执行远程代码。

每个受感染的浏览器都会运行一个远程代码执行框架。它每小时都会检查 api.extensionplay[.]com 是否有新的指令,下载任意的 JavaScript 代码,并以完整的浏览器 API 访问权限执行它。

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 2

该后门还会使用 AES 加密将浏览 URL、指纹信息和持久标识符泄露到 api[.]cleanmasters[.]store。

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 3
安装量超过30万的 Clean Master 扩展程序

在应用商店中,包含“精选”和“已验证”标识的 Clean Master 在内的五个扩展程序,在合法运行多年后,于 2024 年年中被恶意利用。这些扩展程序现在每小时执行一次远程代码——下载并执行任意 JavaScript 代码,并拥有完整的浏览器访问权限。

攻击还在进行中

目前攻击仍在进行中,该阶段涉及 “Starlab Technology” 于 2023 年发布的五款 Microsoft Edge 扩展程序。自那时以来,这些扩展程序已累计安装了 400 万次。

研究人员表示,这些扩展程序中的间谍软件组件会收集以下数据,并将其发送到中国的 17 个域名(sending it to 17 domains in China):

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 4
  • Browsing history  浏览历史记录
  • 搜索查询和按键操作
  • 带有坐标的鼠标点击
  • Fingerprint data  指纹数据
  • 本地/会话存储和 Cookie

为什么能存在8年之久?

主要原因是这些行为本身并不显眼,很难让用户察觉。

尤其当用户信任这款浏览器扩展的时候,浏览器还会自动更新这些扩展。于是一款原本没有问题的扩展,在某次更新之后,就变成了恶意扩展。

就这样,持续了8年之久。

现状如何?

研究人员联系了 Google 和 Microsoft,已经从商店下架了这些恶意扩展。

在 BleepingComputer 的原文中,还出现了从 Google Play 下架恶意应用的描述。这是因为 ShadyPanda 并非只针对浏览器扩展,它是一个跨平台的黑产组织,同时在 Chrome Web Store、Edge Add-ons 以及 Google Play 上投放恶意软件。

WeTab 新标签页 与 Infinity New Tab (Pro) 到底怎么样?

BleepingComputer 与 Koi 的指控

BleepingComputer 在结尾提到了这两款著名的扩展:

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 5

在 Koi 的报道中,明确指出:

ShadyPanda 最大的项目并非 Clean Master。Clean Master 背后的同一家 Edge 浏览器发行商——Starlab Technology——在 2023 年前后又在 Microsoft Edge 浏览器上推出了 5 款扩展程序,累计安装量超过 400 万次。

这五款软件中有两款是功能全面的间谍软件。其中旗舰产品 WeTab 新标签页(WeTab New Tab Page)的安装量就高达 300 万次,它伪装成一款生产力工具,实则是一个功能强大的监控平台。

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 6
潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 7

收集的内容包括:

  • 存储访问权限 – 可读取 localStorage、sessionStorage,并可访问所有 cookie
  • 每次访问的网址——完整的浏览历史记录实时传输
  • 所有搜索查询——对用户搜索内容的按键级别监控
  • 像素级精度鼠标点击追踪——X/Y 坐标和元素识别
  • 浏览器指纹识别——屏幕分辨率、语言、时区、用户代理
  • 页面交互数据——页面停留时间、滚动行为、活跃浏览时间

WeTab 新标签页的回应

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 8

青小蛙总结如下:

Clean Master 的问题

  1. Clean Master 最初由他们设计与开发。初始上线后不包含安全报告中提到的后门、远程代码执行或恶意监控行为。
  2. Clean Master 的 Chrome 版本整体出售给了第三方,包括相关代码及上架账号的控制权。
  3. Koi 报告中提到的 Clean Master Chrome 版本,为 2024 年之后推送的恶意更新,并非 WeTab 团队发布
  4. WeTab 团队在 Edge 商店的 Clean Master 扩展,最后一次更新时间截止在 2020 年,并于2024主动下架,与新版本无关联。
  5. WeTab 不再运营任何名为「Clean Master」的浏览器扩展。

WeTab / Infinity 的问题

  1. 对 WeTab / Infinity 进行了多轮内部安全自查,未发现安全报告中所述的远程代码执行后门或恶意行为,也不存在在用户不知情情况下执行任意第三方脚本的情况。
  2. 由于 Clean Master 与 WeTab、Infinity 曾使用同一开发者账号上架,当相关账号因 Clean Master 事件受到平台风控审查时,平台出于整体风险控制,会对同一账号下的多款扩展采取「统一处理」或「临时下架」措施。

(@青小蛙:目前 WeTab 与 Infinity 均在线,可以直接从 chrome 商店下载安装。)

关于报道中出现的 Infinity V+,WeTab 是这样说的:

潜伏 8 年,430万次安装!一批浏览器恶意扩展,终于被曝光 9

说实话没看太懂,我的理解是 Infinity V+ 是个冒牌货,不是 WeTab 的产品。

其他就没什么了,有兴趣的可以前往阅读原文(WeTab 公众号文章)。

截至目前,还没有找到任何公开的第三方/安全机构/研究团队,对 WeTab 扩展进行过独立安全分析。

但同时,也没有第三方独立验证能够证明:KOI 提到的 WeTab 收集行为就是来自“官方 WeTab 版本”

所有有关恶意扩展 ID 完整列表

最后,Koi 还附上了所有与 ShadyPanda 行动相关的扩展 ID 的完整列表:

C&C Domains:

  • extensionplay[.]com
  • yearnnewtab[.]com
  • api.cgatgpt[.]net

Exfiltrations Domains:

  • dergoodting[.]com
  • yearnnewtab[.]com
  • cleanmasters[.]store
  • s-85283.gotocdn[.]com
  • s-82923.gotocdn[.]com

Chrome Extensions:

  • eagiakjmjnblliacokhcalebgnhellfi
  • ibiejjpajlfljcgjndbonclhcbdcamai
  • ogjneoecnllmjcegcfpaamfpbiaaiekh
  • jbnopeoocgbmnochaadfnhiiimfpbpmf
  • cdgonefipacceedbkflolomdegncceid
  • gipnpcencdgljnaecpekokmpgnhgpela
  • bpgaffohfacaamplbbojgbiicfgedmoi
  • ineempkjpmbdejmdgienaphomigjjiej
  • nnnklgkfdfbdijeeglhjfleaoagiagig
  • Mljmfnkjmcdmongjnnnbbnajjdbojoci
  • llkncpcdceadgibhbedecmkencokjajg
  • nmfbniajnpceakchicdhfofoejhgjefb
  • ijcpbhmpbaafndchbjdjchogaogelnjl
  • olaahjgjlhoehkpemnfognpgmkbedodk
  • gnhgdhlkojnlgljamagoigaabdmfhfeg
  • cihbmmokhmieaidfgamioabhhkggnehm
  • lehjnmndiohfaphecnjhopgookigekdk
  • hlcjkaoneihodfmonjnlnnfpdcopgfjk
  • hmhifpbclhgklaaepgbabgcpfgidkoei
  • lnlononncfdnhdfmgpkdfoibmfdehfoj
  • nagbiboibhbjbclhcigklajjdefaiidc
  • ofkopmlicnffaiiabnmnaajaimmenkjn
  • ocffbdeldlbilgegmifiakciiicnoaeo
  • eaokmbopbenbmgegkmoiogmpejlaikea
  • lhiehjmkpbhhkfapacaiheolgejcifgd
  • ondhgmkgppbdnogfiglikgpdkmkaiggk
  • imdgpklnabbkghcbhmkbjbhcomnfdige

Edge Add-ons:

  • bpelnogcookhocnaokfpoeinibimbeff
  • enkihkfondbngohnmlefmobdgkpmejha
  • hajlmbnnniemimmaehcefkamdadpjlfa
  • aadnmeanpbokjjahcnikajejglihibpd
  • ipnidmjhnoipibbinllilgeohohehabl
  • fnnigcfbmghcefaboigkhfimeolhhbcp
  • nlcebdoehkdiojeahkofcfnolkleembf
  • fhababnomjcnhmobbemagohkldaeicad
  • nokknhlkpdfppefncfkdebhgfpfilieo
  • ljmcneongnlaecabgneiippeacdoimaa
  • onifebiiejdjncjpjnojlebibonmnhog
  • dbagndmcddecodlmnlcmhheicgkaglpk
  • fmgfcpjmmapcjlknncjgmbolgaecngfo
  • kgmlodoegkmpfkbepkfhgeldidodgohd
  • hegpgapbnfiibpbkanjemgmdpmmlecbc
  • gkanlgbbnncfafkhlchnadcopcgjkfli
  • oghgaghnofhhoolfneepjneedejcpiic
  • fcidgbgogbfdcgijkcfdjcagmhcelpbc
  • nnceocbiolncfljcmajijmeakcdlffnh
  • domfmjgbmkckapepjahpedlpdedmckbj
  • cbkogccidanmoaicgphipbdofakomlak
  • bmlifknbfonkgphkpmkeoahgbhbdhebh
  • ghaggkcfafofhcfppignflhlocmcfimd
  • hfeialplaojonefabmojhobdmghnjkmf
  • boiciofdokedkpmopjnghpkgdakmcpmb
  • ibfpbjfnpcgmiggfildbcngccoomddmj
  • idjhfmgaddmdojcfmhcjnnbhnhbmhipd
  • jhgfinhjcamijjoikplacnfknpchndgb
  • cgjgmbppcoolfkbkjhoogdpkboohhgel
  • afooldonhjnhddgnfahlepchipjennab
  • fkbcbgffcclobgbombinljckbelhnpif
  • fpokgjmlcemklhmilomcljolhnbaaajk
  • hadkldcldaanpomhhllacdmglkoepaed
  • iedkeilnpbkeecjpmkelnglnjpnacnlh
  • hjfmkkelabjoojjmjljidocklbibphgl
  • dhjmmcjnajkpnbnbpagglbbfpbacoffm
  • cgehahdmoijenmnhinajnojmmlnipckl
  • fjigdpmfeomndepihcinokhcphdojepm
  • chmcepembfffejphepoongapnlchjgil
  • googojfbnbhbbnpfpdnffnklipgifngn
  • fodcokjckpkfpegbekkiallamhedahjd
  • igiakpjhacibmaichhgbagdkjmjbnanl
  • omkjakddaeljdfgekdjebbbiboljnalk
  • llilhpmmhicmiaoancaafdgganakopfg
  • nemkiffjklgaooligallbpmhdmmhepll
  • papedehkgfhnagdiempdbhlgcnioofnd
  • glfddenhiaacfmhoiebfeljnfkkkmbjb
  • pkjfghocapckmendmgdmppjccbplccbg
  • gbcjipmcpedgndgdnfofbhgnkmghoamm
  • ncapkionddmdmfocnjfcfpnimepibggf
  • klggeioacnkkpdcnapgcoicnblliidmf
  • klgjbnheihgnmimajhohfcldhfpjnahe
  • acogeoajdpgplfhidldckbjkkpgeebod
  • ekndlocgcngbpebppapnpalpjfnkoffh
  • elckfehnjdbghpoheamjffpdbbogjhie
  • dmpceopfiajfdnoiebfankfoabfehdpn
  • gpolcigkhldaighngmmmcjldkkiaonbg
  • dfakjobhimnibdmkbgpkijoihplhcnil
  • hbghbdhfibifdgnbpaogepnkekonkdgc
  • fppchnhginnfabgenhihpncnphhafmac
  • ghhddclfklljabeodmcejjjlhoaaiban
  • bppelgkcnhfkicolffhlkbdghdnjdkhi
  • ikgaleggljchgbihlaanjbkekmmgccam
  • bdhjinjoglaijpffoamhhnhooeimgoap
  • fjioinpkgmlcioajfnncgldldcnabffe
  • opncjjhgbllenobgbfjbblhghmdpmpbj
  • cbijiaccpnkbdpgbmiiipedpepbhioel
  • fbbmnieefocnacnecccgmedmcbhlkcpm
  • hmbacpfgehmmoloinfmkgkpjoagiogai
  • paghkadkhiladedijgodgghaajppmpcg
  • bafbmfpfepdlgnfkgfbobplkkaoakjcl
  • kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
  • jelgelidmodjpmohbapbghdgcpncahki
  • lfgakdlafdenmaikccbojgcofkkhmolj
  • hdfknlljfbdfjdjhfgoonpphpigjjjak
  • kpfbijpdidioaomoecdbfaodhajbcjfl
  • fckphkcbpgmappcgnfieaacjbknhkhin
  • lhfdakoonenpbggbeephofdlflloghhi
  • ljjngehkphcdnnapgciajcdbcpgmpknc
  • ejfocpkjndmkbloiobcdhkkoeekcpkik
  • ccdimkoieijdbgdlkfjjfncmihmlpanj
  • agdlpnhabjfcbeiempefhpgikapcapjb
  • mddfnhdadbofiifdebeiegecchpkbgdb
  • alknmfpopohfpdpafdmobclioihdkhjh
  • hlglicejgohbanllnmnjllajhmnhjjel
  • iaccapfapbjahnhcmkgjjonlccbhdpjl
  • ehmnkbambjnodfbjcebjffilahbfjdml
  • ngbfciefgjgijkkmpalnmhikoojilkob
  • laholcgeblfbgdhkbiidbpiofdcbpeeo
  • njoedigapanaggiabjafnaklppphempm
  • fomlombffdkflbliepgpgcnagolnegjn
  • jpoofbjomdefajdjcimmaoildecebkjc
  • nhdiopbebcklbkpfnhipecgfhdhdbfhb
  • gdnhikbabcflemolpeaaknnieodgpiie
  • bbdioggpbhhodagchciaeaggdponnhpa
  • ikajognfijokhbgjdhgpemljgcjclpmn
  • lmnjiioclbjphkggicmldippjojgmldk
  • ffgihbmcfcihmpbegcfdkmafaplheknk
  • lgnjdldkappogbkljaiedgogobcgemch
  • hiodlpcelfelhpinhgngoopbmclcaghd
  • mnophppbmlnlfobakddidbcgcjakipin
  • jbajdpebknffiaenkdhopebkolgdlfaf
  • ejdihbblcbdfobabjfebfjfopenohbjb
  • ikkoanocgpdmmiamnkogipbpdpckcahn
  • ileojfedpkdbkcchpnghhaebfoimamop
  • akialmafcdmkelghnomeneinkcllnoih
  • eholblediahnodlgigdkdhkkpmbiafoj
  • ipokalojgdmhfpagmhnjokidnpjfnfik
  • hdpmmcmblgbkllldbccfdejchjlpochf
  • iphacjobmeoknlhenjfiilbkddgaljad
  • jiiggekklbbojgfmdenimcdkmidnfofl
  • gkhggnaplpjkghjjcmpmnmidjndojpcn
  • opakkgodhhongnhbdkgjgdlcbknacpaa
  • nkjomoafjgemogbdkhledkoeaflnmgfi
  • ebileebbekdcpfjlekjapgmbgpfigled
  • oaacndacaoelmkhfilennooagoelpjop
  • ljkgnegaajfacghepjiajibgdpfmcfip
  • hgolomhkdcpmbgckhebdhdknaemlbbaa
  • bboeoilakaofjkdmekpgeigieokkpgfn
  • dkkpollfhjoiapcenojlmgempmjekcla
  • emiocjgakibimbopobplmfldkldhhiad
  • nchdmembkfgkejljapneliogidkchiop
  • lljplndkobdgkjilfmfiefpldkhkhbbd
  • hofaaigdagglolgiefkbencchnekjejl
  • hohobnhiiohgcipklpncfmjkjpmejjni
  • jocnjcakendmllafpmjailfnlndaaklf
  • bjdclfjlhgcdcpjhmhfggkkfacipilai
  • ahebpkbnckhgjmndfjejibjjahjdlhdb
  • enaigkcpmpohpbokbfllbkijmllmpafm
  • bpngofombcjloljkoafhmpcjclkekfbh
  • cacbflgkiidgcekflfgdnjdnaalfmkob
  • ibmgdfenfldppaodbahpgcoebmmkdbac

分享

相关

写留言

Enable Notifications OK No thanks