Cum a devenit Chrome o unealtă pentru spionaj digital: extensii populare, transformate în spyware de hackeri

O nouă investigație în domeniul securității cibernetice scoate la lumină unul dintre cele mai îngrijorătoare cazuri recente de compromitere a unui ecosistem digital de încredere. Gruparea ShadyPanda, un actor malițios activ de ani buni, a transformat extensii populare de browser în instrumente de spionaj, reușind să afecteze peste 4,3 milioane de utilizatori din întreaga lume. Cazul arată cât de vulnerabil poate deveni un ecosistem bazat pe încredere — în special atunci când atacatorii mizează pe legitimitatea inițială a unor aplicații care, la început, funcționau corect.

Conform raportului realizat de Koi Security, cinci dintre extensiile vizate au fost lansate ca programe legitime și abia în 2024 au fost modificate pentru a include cod malițios. Până în acel moment, ele atrăseseră aproximativ 300.000 de instalări, multe datorate faptului că unele dintre ele au fost chiar promovate și verificate de Google. Printre acestea se numără „Clean Master”, care, timp de ani de zile, a părut o extensie sigură, folosită pentru optimizarea browserului. Abia ulterior a devenit o unealtă de colectare mascată a datelor, actualizările fiind livrate prin sistemul oficial și de încredere al Chrome Web Store.

O operațiune în patru faze: de la aplicații legitime la instrumente de supraveghere

Campania orchestrală de ShadyPanda nu a apărut peste noapte. Investigația arată că primele semnale ale activităților suspecte au apărut încă din 2023, când dezvoltatori folosind numele „nuggetsno15” și „rocket Zhang” au lansat peste 140 de extensii pe platformele Chrome și Microsoft Edge. Acestea se prezentau ca aplicații de tip wallpapers sau programe de productivitate, însă rolul lor real era să injecteze coduri de tracking în site-uri mari precum Amazon, eBay sau Booking.com, pentru a genera comisioane ilegale prin ceea ce se numește affiliate fraud.

Ulterior, în 2024, atacul a trecut într-o nouă etapă: extensiile au început să redirecționeze căutările utilizatorilor către trovi.com, un bine-cunoscut browser hijacker. Acest pas marca trecerea de la activități discrete la control efectiv asupra experienței de navigare, permițând atacatorilor să manipuleze rezultatele căutării și să colecteze toate interogările realizate în motoarele de căutare.

Cerere de căsătorie surpriză la „Mireasa”. Un cuplu contestat s-a logodit, după câteva săptămâni de relație: „Promit că o să încerc să te fac fericit”

Horoscop 5 decembrie 2025. O zodie primește o nouă șansă, norocul e de partea ei

Transformarea totală a extensiilor compromise a avut loc la mijlocul anului 2024, când cinci dintre ele — inclusiv trei care funcționaseră perfect timp de ani de zile — au primit actualizări care le-au transformat în backdoor-uri active. Ele contactau la fiecare oră domeniul „api.extensionplay[.]com” pentru a descărca cod JavaScript cu acces complet la browser. În acel moment, extensiile monitorizau toate site-urile vizitate și transmiteau informațiile spre un server controlat de ShadyPanda, sub forma „api.cleanmasters[.]store”.

Toate aceste funcționalități erau ascunse cu grijă sub un strat consistent de obfuscare, iar dacă utilizatorul încerca să acceseze Developer Tools, comportamentul se schimba instant într-unul benign.

Extensii noi, aceeași strategie: supraveghere completă asupra activității utilizatorilor

Partea finală a campaniei a fost și cea mai agresivă. Cinci extensii noi, publicate în 2023 în Microsoft Edge Addons — printre care „WeTab”, cu peste trei milioane de instalări — au fost folosite pentru o supraveghere profundă. Ele înregistrau URL-urile vizitate, căutările în motoarele de căutare, clickurile utilizatorilor, cookie-urile și chiar comportamentul de scroll și timpul petrecut pe fiecare pagină.

Aceste date erau trimise către servere din China, iar extensiile aveau capacitatea de a injecta cod în orice site, ceea ce le permitea să intercepteze sesiuni, să fure credențiale și să declanșeze atacuri de tip AitM (adversary-in-the-middle).

Raportul semnalează faptul că una dintre aceste extensii, „WeTab”, se află încă online, ceea ce pune în pericol utilizatori care, în mod firesc, nu se așteaptă ca o aplicație dintr-un magazin oficial să fie malițioasă.

Pentru mulți specialiști, surpriza majoră nu este doar amploarea atacului, ci faptul că sistemele de verificare ale platformelor mari nu monitorizează comportamentul extensiilor după aprobarea inițială. Astfel, grupări precum ShadyPanda exploatează exact ceea ce le oferă cea mai mare putere: încrederea utilizatorilor în „update-urile automate sigure”.

Ce înseamnă această campanie pentru utilizatorii obișnuiți și pentru viitorul securității digitale

Cazul ShadyPanda arată cât de fragil poate deveni un ecosistem digital bazat pe încredere și cât de ușor se poate transforma un instrument util într-un vector de atac. Utilizatorii au fost expuși unui risc real fără să fi interacționat vreodată cu e-mailuri suspecte, fără să fi dat clic pe linkuri periculoase și fără să fi instalat conținut din surse obscure. Erau protejați de ecosistemele Chrome și Edge — ecosisteme care, în mod ironic, au devenit vehicule de distribuție pentru malware.

În termeni simpli, vulnerabilitatea exploatată timp de șapte ani de ShadyPanda nu a fost una tehnică, ci una procedurală: magazinul de extensii verifică aplicațiile o singură dată, la momentul încărcării lor. Ulterior, actualizările sunt tratate ca fiind în mod implicit de încredere.

Campania demonstrează și cât de ușor poate fi înșelată percepția publică. Când o extensie apare cu eticheta „verified” sau este prezentată de Google ca fiind sigură, utilizatorii nu mai au nicio reținere în a o instala. Tocmai acest capital de încredere a fost exploatat.

În final, cercetătorii recomandă eliminarea imediată a extensiilor afectate, resetarea parolelor și o schimbare de atitudine din partea utilizatorilor: inclusiv extensiile verificate pot deveni periculoase în timp, dacă nu sunt monitorizate constant.

Cazul ShadyPanda rămâne un semnal de alarmă pentru toată industria: într-o lume în care update-urile automate sunt considerate standard de securitate, ele pot deveni, paradoxal, cel mai eficient vector de atac atunci când sunt manipulate de actori rău intenționați.