網絡安全公司KOI Security日前曝光了一個名為“ShadyPanda”的長期惡意軟件行為，持續收集用户隱私信息。其中，比較知名的擴展程序包括“WeTab 新標籤頁”和“Infinity V+ 新標籤頁”。

該公司開發的擴展程序累計下載量超過430萬次，涉及多達145個惡意擴展程序。KOI Security發現，這些看似合法的擴展程序，通過多階段的演變，最終淪為功能強大的間諜軟件和後門程序：

• 初期（2023年）：偽裝成壁紙和生產力工具，主要通過在eBay、Booking.com和Amazon的合法鏈接中注入跟蹤代碼來獲取用户購物返利。
• 中期（2024年初）：惡意行為升級，例如“Infinity V+”擴展程序開始執行搜索劫持，將用户的搜索請求重定向到trovi[.]com，並竊取用户的Cookies和搜索記錄。
• 後期（2024年）：最具威脅性的功能出現，五個擴展被修改，包括三個在2018年和2019年上傳、積累了良好聲譽的擴展程序，通過更新被植入了一個“後門”，使其具備遠程代碼執行的能力。

KOI Security指出，後門會每小時檢查一次服務器，下載並執行任意JavaScript，從而獲得瀏覽器API的完全訪問權限。

這些惡意行為會收集用户大量的敏感數據，並將其發送到17個不同域名，收集的數據包括：

• 瀏覽歷史記錄
• 搜索查詢和按鍵記錄
• 帶有座標的鼠標點擊記錄
• Cookies和本地/會話存儲數據
• 指紋識別信息

目前谷歌已將這些惡意擴展程序從其Chrome擴展商店中移除，但仍存在於微軟Edge的擴展商店中。安全專家強烈建議用户立即移除這些擴展程序，並出於安全考慮，重置其所有在線賬户的密碼。