黑客通过浏览器扩展程序散布恶意程序的情况时有发生，如今一个黑客组织潜伏长达7年才被发现，他们通过长期建立信任、积累用户，再利用更新机制发动攻击。

安全公司Koi Security披露了名为ShadyPanda的黑客组织的活动，该组织的行动最早可追溯至2018年，至今已感染430万Chrome和Edge用户。值得注意的是，部分活动至今仍在持续。

这些攻击大致分为两种类型：一种是规模较大的间谍软件活动，黑客利用WeTab等5款恶意扩展程序，收集用户浏览的URL、搜索记录以及鼠标点击内容，并发送至位于中国的服务器。上述恶意扩展程序累计被下载400万次，其中WeTab占300万次。

另一种类型是部署后门程序，使攻击者能够远程执行任意代码（RCE）。黑客运营Clean Master等5款扩展程序，这些程序曾通过平台审核，并被标记为精选扩展，直到2024年年中才被植入恶意功能。一旦用户安装，这些扩展程序每小时都会下载JavaScript指令并执行，同时监控用户访问的网站，泄露经过加密的浏览记录，并收集完整的上网特征。这些扩展程序累计被下载30万次。

针对ShadyPanda的攻击行动，Koi Security将其划分为四波：第一波是通过大量扩展程序进行广告欺诈。2023年，黑客上架了125个Edge扩展和20个Chrome扩展，声称提供桌面壁纸或生产力工具功能，但一旦用户点击eBay、Amazon或Booking.com等网站，扩展程序就会悄悄注入联盟追踪代码，一旦用户完成购买，黑客即可获得佣金；此外，这些扩展还部署了Google Analytics追踪工具，将用户上网记录出售变现。

2024年初，ShadyPanda采取更激进的策略，试图主动控制浏览器。其中一个恶意扩展名为Infinity V+，黑客宣称其为标签页生产力工具，实则劫持浏览器核心功能：一是将搜索结果重定向至trovi[.]com，以此牟取搜索流量收益；二是窃取用户Cookie，读取特定域名的Cookie并发送追踪数据，监控用户上网行为。

第三波攻击发生在2024年年中，ShadyPanda利用Clean Master等5个恶意扩展程序实施攻击，其中3个早在2018至2019年就已上架。这些程序长期合法运行，积累大量用户信任和下载量后，在下载量突破30万次时推送恶意更新。值得注意的是，他们在推送恶意更新前，已部署了隐蔽的追踪系统，用于优化后续恶意更新的投放策略。

这些恶意扩展程序会诱导浏览器访问远程代码执行框架，每小时检查api.extensionplay[.]com是否存在新指令，下载并执行JavaScript脚本，利用完整的浏览器API运行攻击代码。Koi Security指出，攻击者并非直接部署特定功能的恶意软件，而是通过这种后门通道，动态加载ShadyPanda指定的攻击工具。

第四波攻击专门针对Edge用户，ShadyPanda上架了5个恶意扩展，累计安装超过400万次，其中两款为完整间谍软件。其中WeTab会收集大量用户数据，发送至17个不同域名，包括位于中国的8台百度服务器和7台WeTab服务器，同时也会将数据上传至Google Analytics。

WeTab具体窃取哪些信息？包括实时上传完整的上网记录、以键盘级别监控用户搜索内容、鼠标点击追踪、浏览器指纹（Fingerprint），以及网页交互数据（如页面停留时间、滚动操作等）。

ShadyPanda的活动暴露了浏览器扩展商店审核机制的严重缺陷：平台在开发者上架时虽进行严格审查，但一旦通过，后续更新往往不再追踪。因此，原本用于保护用户的自动更新机制，反而成为黑客发起攻击的通道。在ShadyPanda作案的7年中，该扩展管理机制基本未作改进，使得黑客得以持续利用同一渠道传播恶意扩展。