12月2日消息，數(shù)百網(wǎng)絡(luò)安全公司KOI Security日前曝光了一個(gè)名為“ShadyPanda”的戶天長(zhǎng)期惡意軟件行為，持續(xù)收集用戶隱私信息。知名

其中，擴(kuò)展比較知名的被曝?cái)U(kuò)展程序包括“WeTab 新標(biāo)簽頁(yè)”和“Infinity V+ 新標(biāo)簽頁(yè)”。

該公司開(kāi)發(fā)的惡意擴(kuò)展程序累計(jì)下載量超過(guò)430萬(wàn)次，涉及多達(dá)145個(gè)惡意擴(kuò)展程序。劫持

KOI Security發(fā)現(xiàn)，數(shù)百這些看似合法的戶天擴(kuò)展程序，通過(guò)多階段的知名演變，最終淪為功能強(qiáng)大的擴(kuò)展間諜軟件和后門程序：

初期（2023年）：偽裝成壁紙和生產(chǎn)力工具，主要通過(guò)在eBay、被曝Booking.com和Amazon的惡意合法鏈接中注入跟蹤代碼來(lái)獲取用戶購(gòu)物返利。

中期（2024年初）：惡意行為升級(jí)，劫持例如“Infinity V+”擴(kuò)展程序開(kāi)始執(zhí)行搜索劫持，數(shù)百將用戶的搜索請(qǐng)求重定向到trovi[.]com，并竊取用戶的Cookies和搜索記錄。

后期（2024年）：最具威脅性的功能出現(xiàn)，五個(gè)擴(kuò)展被修改，包括三個(gè)在2018年和2019年上傳、積累了良好聲譽(yù)的擴(kuò)展程序，通過(guò)更新被植入了一個(gè)“后門”，使其具備遠(yuǎn)程代碼執(zhí)行的能力。

KOI Security指出，后門會(huì)每小時(shí)檢查一次服務(wù)器，下載并執(zhí)行任意JavaScript，從而獲得瀏覽器API的完全訪問(wèn)權(quán)限。

這些惡意行為會(huì)收集用戶大量的敏感數(shù)據(jù)，并將其發(fā)送到17個(gè)不同域名，收集的數(shù)據(jù)包括：

瀏覽歷史記錄

搜索查詢和按鍵記錄

帶有坐標(biāo)的鼠標(biāo)點(diǎn)擊記錄

Cookies和本地/會(huì)話存儲(chǔ)數(shù)據(jù)

指紋識(shí)別信息

目前谷歌已將這些惡意擴(kuò)展程序從其Chrome擴(kuò)展商店中移除，但仍存在于微軟Edge的擴(kuò)展商店中。

安全專家強(qiáng)烈建議用戶立即移除這些擴(kuò)展程序，并出于安全考慮，重置其所有在線賬戶的密碼。

消息曝光后，不少用戶紛紛表示“天塌了”，畢竟這么多的安裝量，用戶量確實(shí)不算小。