מתקפת תוספי דפדפן זדוניים הדביקה 4.3 מיליון משתמשי גוגל Chrome ומיקרוסופט Edge בשלל נוזקות, כולל דלתות אחוריות ורוגלות ששלחו מידע משתמשים לשרתים בסין. לדברי חוקרי סייבר של חברת Koi, לחמישה מהתוספים יש יותר מ- 4 מיליון התקנות והם עדיין ניתנים להורדה עבור דפדפן Edge. פושעי הסייבר, המכונים ShadyPanda, שיחקו משחק ארוך טווח: הם פרסמו תוספים לגיטימיים להורדה, צברו אלפי או לפעמים מיליוני הורדות במשך מספר שנים ולאחר מכן דחפו עדכון עמוס נוזקות המתעדכן אוטומטית אצל כל המשתמשים.
מכיוון ש- Chrome ו- Edge סוקרים תוספים עם הגשתם, לא מדובר בתהליך מתמשך – כלי הפרודוקטיביות הללו, שנראו מצוינים, חלקם עם סטטוס "מומלץ" ו"מאומת" לצד ביקורות משתמשים טובות ומספר התקנות גבוה, הורשו לעקוב אחר התנהגות המשתמשים ולגנוב מידע רגיש בשקט במשך שנים: "אין דיוג. אין הנדסה חברתית – רק תוספים מהימנים עם שיפורי גרסה שקטים שהפכו את כלי הפרודוקטיביות לפלטפורמות מעקב", אמר צוות הסייבר של חברת Koi.
נמצא כי חמישה תוספים הדביקו 300,000 משתמשים באמצעות דלת אחורית המאפשרת ביצוע קוד מרחוק. שלושה מתוך חמשת התוספים הועלו בין 2018 ל- 2019 והשיגו סטטוס "מומלץ" ו"מאומת". לאחד התוספים הללו בשם "Clean Master" ופורסם על ידי Starlab Technology, יש יותר מ- 200,000 התקנות. באמצע 2024, לאחר שהורד יותר מ- 300,000 פעמים, דחפה ShadyPanda עדכון זדוני המכיל דלת אחורית בכל חמשת התוספים שרצו ב- Chrome וב- Edge. בעוד שהתוספים הוסרו מאז משני השווקים, "נותרה פרוסה התשתית למתקפות בקנה מידה מלא בכל הדפדפנים הנגועים", כתבו החוקרים.
נוזקת Clean Master מאפשרת מעקב מלא אחר דפדפנים, בדיקת api.extensionplay[.]com לצורך ביצוע הוראות חדשות בכל שעה, הורדת JavaScript שרירותית והפעלתה עם גישה מלאה ל- API של הדפדפן. היא יכולה גם להחדיר תוכן זדוני לכל אתר אינטרנט, כולל אתרים בעלי חיבור HTTPS. לאחר מכן שולחת נוזקת Clean Master את כל הנתונים הגנובים הללו – כל כתובת ה- URL שבהן ביקר המשתמש, הפניות HTTP המציגות דפוסי ניווט, היסטוריית דפדפן, חותמות זמן לפרופיל פעילות, מזהי UUID4 – לשרתים הנשלטים על ידי ShadyPanda. חמש הרחבות נוספות מאותו מפרסם הושקו ב- Edge בסביבות 2023 וכעת יש להן ביחד יותר מארבעה מיליון התקנות. לדברי Koi, כל החמש עדיין פעילות בשוק Edge ושתיים מהן מתקינות רוגלות על מחשבי המשתמשים. לאחת מהחמש הללו – WeTab, יש שלושה מיליון התקנות. זוהי פלטפורמת מעקב במסווה של כלי פרודוקטיביות אשר גונבת נתוני משתמשים: כל כתובת URL שמבקרים בה, שאילתות חיפוש, מעקב אחר לחיצות עכבר, היסטוריית דפדפן, נתוני אינטראקציה עם דפים וגישה לאחסון – ולאחר מכן שולחת הנוזקה את כל המידע שאספה, בזמן אמת, ל- 17 דומיינים שונים (8 שרתי Baidu בסין, 7 שרתי WeTab בסין ו- Google Analytics). "להרחבה כבר יש הרשאות מסוכנות, כולל גישה לכל כתובות ה- URL והעוגיות בדפדפן", כתבו החוקרים והוסיפו: "ShadyPanda יכולה לדחוף עדכונים בכל עת ולהפוך 4 מיליון דפדפנים לנשק עם אותה מסגרת RCE אחורית [מ- Clean Master] או משהו גרוע מכך."
לדברי חוקרי הסייבר, ממחישות המתקפות הללו של ShadyPanda בעיה באופן שבו מנהלות זירות מסחר את התוספים. "הם לא צופים במה שקורה לאחר שאישרו את התוסף."
