近期，一個名為ShadyPanda的威脅行為者與一項持續七年的瀏覽器擴充活動有關，該活動累計安裝了超過 430 萬次。根據 Koi Security 的一份報告顯示，這五款擴充功能最初都是合法程序，但在 2024 年年中被植入惡意程式碼，吸引了 30 萬次安裝。這些擴充功能目前已被下架。這些擴展程序現在每小時都會執行遠程代碼——下載並執行任意 JavaScript 代碼，並擁有完整的瀏覽器訪問權限。它們會監控每一次網站訪問，竊取加密的瀏覽歷史記錄，並收集完整的瀏覽器指紋。更糟的是，其中一款名為 Clean Master 的擴充功能一度被Google推薦並認證。這種建立信任的做法讓攻擊者得以擴大用戶群，並在數年後悄無聲息地發布惡意更新，而未引起任何懷疑。這些擴充功能被發現會透過在用戶造訪 eBay、Booking.com 或亞馬遜時偷偷注入追蹤程式碼來進行聯盟行銷欺詐(註)，從而從用戶的購買行為中非法獲取佣金。此外，這些擴充功能可以發動中間人攻擊 (AitM)，從而竊取憑證、劫持會話，並將任意程式碼注入任何網站。它們還具備收集受害者與網頁互動資訊的功能，例如瀏覽時間和滾動行為。為謹慎起見，建議已安裝這些擴充功能的使用者立即將其刪除並輪換憑證。「自動更新機制——原本旨在保護用戶安全——卻成了攻擊途徑」Koi Security說。 “Chrome和Edge瀏覽器的可信更新管道悄無聲息地向用戶推送惡意軟體。沒有網路釣魚，也沒有社會工程攻擊。僅僅是通過悄無聲息的版本更新，就將生產力工具變成了監控平台。ShadyPanda的成功不僅僅在於技術上的精湛，更在於他們七年來系統性地利用了同一個漏洞：應用程式商店會在插件提交時進行審核，但不會監控審核通過後的情況。

註：
聯盟行銷欺詐（Affiliate Marketing Fraud）是指任何違反聯盟行銷計畫規範的行為，透過不正當或欺騙手段，製造虛假的流量、註冊或銷售，以便從聯盟行銷計畫中非法獲取佣金。它破壞了行銷系統的公平性，造成品牌信任受損與成本膨脹。這些行為通常利用行銷系統的漏洞，讓數據看起來有「成效」，但實際上沒有真實的轉換或價值。
 

這種大規模的間諜活動揭示了供應鏈攻擊的複雜性與潛在危害。惡意程式碼的運作機制是透過每小時檢查特定的命令與控制（C2）網域，以下載並執行 JavaScript 酬載，該酬載利用廣泛的混淆技術來隱藏其功能，並將詳細的瀏覽器指紋與加密的瀏覽資料傳輸至 ShadyPanda 的伺服器。更值得警惕的是，當用戶試圖開啟瀏覽器的開發者工具進行分析時，惡意行為會立即切換回良性模式，有效規避了安全偵測。除了這五款被修改的擴充功能，同一發布者還另有五個已發布約四百萬次安裝的擴充功能，例如 WeTab，被用於更全面的監控，包括記錄所有造訪的 URL、搜尋引擎查詢、滑鼠點擊和 cookies 等。這項活動證明了威脅行為者如何透過長期佈局，將看似無害的壁紙或生產力工具，逐步轉變成數據竊取與主動瀏覽器控制的武器。此案的關鍵教訓在於，應用程式商店對於已通過審核的擴充功能，缺乏持續性的安全監控機制，使得其自動更新管道成為向數百萬用戶靜默推送惡意軟體的溫床，構成對企業和個人隱私的重大威脅。