Chrome与Edge超430万用户遭ShadyPanda攻击，七年后才被发现

调查发现，ShadyPanda采取了一种长期潜伏策略而非立即发动攻击。该组织曾经多年运营名为"Clean Master"等合规的浏览器扩展程序，借此积累用户信任并成功获取谷歌与微软的官方认证。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

恶意软件运作机制

高级威胁组织"ShadyPanda"通过长达七年的持续攻击活动，已成功侵入超过430万Chrome和Edge浏览器用户。该组织利用用户对浏览器应用商店的信任，将标有"精选"和"已验证"标签的扩展程序武器化，悄然部署远程代码执行后门并开展大规模间谍活动，全程未触发传统安全警报。

研究表明，ShadyPanda倾向于采用长期渗透策略而非短期攻击。该组织通过运营"Clean Master"等看似合法的扩展程序多年，逐步建立用户基础并取得谷歌与微软的信任认证。直到2024年中旬，当用户量突破30万后，他们悄然推送恶意更新，将扩展程序转变为每小时执行远程代码的载体。受感染的浏览器会定时连接命令控制服务器（api.extensionplay[.]com），下载并执行拥有完整浏览器权限的任意JavaScript代码。

大规模数据窃取

虽然远程代码执行攻击精准度高，但ShadyPanda在第四阶段攻击中已形成工业化规模。微软Edge商店中包括热门扩展"WeTab"在内的五个活跃扩展，目前正被超过400万用户使用。与已下架的Chrome扩展不同，这些Edge插件仍在持续运行，不间断地收集完整的浏览器指纹、搜索查询和访问记录，并将数据传往位于中国的服务器（包括百度及私有基础设施）。

该恶意软件能够以像素级精度记录鼠标点击轨迹，实时窃取浏览历史，将企业和个人浏览器变为开放的监控设备。根据Koi Security最新报告，ShadyPanda恶意软件收集的具体数据涵盖：

浏览器安全模型缺陷

ShadyPanda的成功攻击暴露出浏览器安全模型的关键缺陷：信任机制是静态的，而代码却是动态的。攻击者通过初始审核后，蛰伏多年才武器化自动更新通道，绕过了Chrome和Edge商店的主要防护机制。原本用于保障用户安全的自动更新功能，最终成为穿透企业防火墙的直接感染载体。