Главная страница » Индикаторы компрометации
0
20 часов
Индикаторы компрометации

Семилетняя атака через магазины расширений: ShadyPanda заразил миллионы пользователей Chrome и Edge

APT

Исследователи компании Koi Security раскрыли масштабную операцию угрозы, получившей название ShadyPanda. На протяжении семи лет эта группа проводила кампанию с использованием вредоносных расширений для браузеров, которая в итоге затронула более 4,3 миллиона пользователей Google Chrome и Microsoft Edge. Активность включает две параллельные операции: бэкдор с удаленным выполнением кода на 300 тысячах устройств и шпионскую программу на 4 миллионах установок.

Описание

Операция началась в 2023 году с относительно примитивной схемы мошенничества с партнерскими ссылками. Злоумышленники выложили 145 расширений в магазины Chrome и Edge под видом приложений для обоев и повышения продуктивности. Эти дополнения тайно внедряли реферальные коды при посещении пользователем сайтов вроде eBay или Amazon, присваивая комиссионные. Кроме того, они собирали и продавали историю посещений и поисковые запросы через Google Analytics. Этот этап позволил ShadyPanda изучить уязвимости системы: процесс проверки Chrome фокусируется на первоначальной загрузке, а не на последующем поведении, а пользователи слепо доверяют расширениям с большим числом установок.

В начале 2024 года тактика эволюционировала в сторону активного контроля над браузером. Расширения, такие как Infinity V+, начали перехватывать поисковые запросы, перенаправляя их через сайт trovi.com, и выгружать куки-файлы на внешние серверы. Важно отметить, что каждое нажатие клавиши в строке поиска передавалось на серверы злоумышленников в реальном времени, что позволяло строить детальный психологический профиль пользователя. Однако такие расширения все еще выявлялись и удалялись из магазинов в течение нескольких недель.

Третий этап, начавшийся в середине 2024 года, демонстрирует стратегию долгой игры. ShadyPanda загрузила пять расширений, включая Clean Master, еще в 2018-2019 годах. Они годами функционировали легитимно, накопили сотни тысяч установок и даже получили статус "Рекомендованных" и "Проверенных" от Google. Затем, одним тихим обновлением, все они были превращены в мощное вредоносное ПО. Теперь каждые час расширения обращаются к серверу api.extensionplay[.]com, загружают и выполняют произвольный JavaScript-код с полным доступом к браузеру. Это создает универсальный бэкдор, функционал которого злоумышленники могут менять по своему усмотрению.

Текущая вредоносная нагрузка занимается тотальной слежкой: отслеживает каждую посещенную страницу, собирает полную историю браузера, HTTP-рефереры и детальные цифровые отпечатки устройства. Все данные шифруются и отправляются на серверы ShadyPanda. Расширения используют сложные методы обфускации и могут переключаться на безвредное поведение при обнаружении инструментов разработчика. Более того, они способны перехватывать и модифицировать сетевой трафик, что открывает возможности для кражи учетных данных даже на защищенных HTTPS-сайтах.

Однако самая массовая операция - это пять других расширий от того же издателя в магазине Microsoft Edge, которые до сих пор доступны для загрузки. Их совокупное количество установок превышает 4 миллиона. Флагманское расширение WeTab с 3 миллионами пользователей действует как полноценная шпионская платформа. Оно в реальном времени собирает и передает на серверы в Китае полную историю браузера, все поисковые запросы, координаты каждого клика мыши и детальные данные о взаимодействии с веб-страницами. По сути, эти 4 миллиона браузеров уже являются развернутой платформой для наблюдения, и в любой момент ShadyPanda может отправить им обновление с еще более опасным функционалом, например, с тем же бэкдором для удаленного выполнения кода.

История ShadyPanda наглядно демонстрирует системную уязвимость модели безопасности современных магазинов расширений. Они проводят статический анализ при первичной загрузке, но практически не осуществляют постоянный мониторинг поведения после одобрения. Механизм автоматического обновления, призванный обеспечивать безопасность, стал главным вектором атаки. Доверие пользователей к значкам "Проверено" и большим счетчикам установок оказалось самой большой уязвимостью. Злоумышленники доказали, что можно годами вести легитимную деятельность, накопить аудиторию, а затем одним обновлением превратить безобидный инструмент в оружие. Этот прецедент создает опасный прецедент для других продвинутых групп угроз (APT), показывая готовый план эксплуатации доверия в экосистеме браузеров.

Индикаторы компрометации

Domains

  • api.cgatgpt.net
  • cleanmasters.store
  • dergoodting.com
  • extensionplay.com
  • s-82923.gotocdn.com
  • s-85283.gotocdn.com
  • yearnnewtab.com

Chrome Extensions

  • eagiakjmjnblliacokhcalebgnhellfi
  • ibiejjpajlfljcgjndbonclhcbdcamai
  • ogjneoecnllmjcegcfpaamfpbiaaiekh
  • jbnopeoocgbmnochaadfnhiiimfpbpmf
  • cdgonefipacceedbkflolomdegncceid
  • gipnpcencdgljnaecpekokmpgnhgpela
  • bpgaffohfacaamplbbojgbiicfgedmoi
  • ineempkjpmbdejmdgienaphomigjjiej
  • nnnklgkfdfbdijeeglhjfleaoagiagig
  • Mljmfnkjmcdmongjnnnbbnajjdbojoci
  • llkncpcdceadgibhbedecmkencokjajg
  • nmfbniajnpceakchicdhfofoejhgjefb
  • ijcpbhmpbaafndchbjdjchogaogelnjl
  • olaahjgjlhoehkpemnfognpgmkbedodk
  • gnhgdhlkojnlgljamagoigaabdmfhfeg
  • cihbmmokhmieaidfgamioabhhkggnehm
  • lehjnmndiohfaphecnjhopgookigekdk
  • hlcjkaoneihodfmonjnlnnfpdcopgfjk
  • hmhifpbclhgklaaepgbabgcpfgidkoei
  • lnlononncfdnhdfmgpkdfoibmfdehfoj
  • nagbiboibhbjbclhcigklajjdefaiidc
  • ofkopmlicnffaiiabnmnaajaimmenkjn
  • ocffbdeldlbilgegmifiakciiicnoaeo
  • eaokmbopbenbmgegkmoiogmpejlaikea
  • lhiehjmkpbhhkfapacaiheolgejcifgd
  • ondhgmkgppbdnogfiglikgpdkmkaiggk
  • imdgpklnabbkghcbhmkbjbhcomnfdige

Edge Add-ons

  • bpelnogcookhocnaokfpoeinibimbeff
  • enkihkfondbngohnmlefmobdgkpmejha
  • hajlmbnnniemimmaehcefkamdadpjlfa
  • aadnmeanpbokjjahcnikajejglihibpd
  • ipnidmjhnoipibbinllilgeohohehabl
  • fnnigcfbmghcefaboigkhfimeolhhbcp
  • nlcebdoehkdiojeahkofcfnolkleembf
  • fhababnomjcnhmobbemagohkldaeicad
  • nokknhlkpdfppefncfkdebhgfpfilieo
  • ljmcneongnlaecabgneiippeacdoimaa
  • onifebiiejdjncjpjnojlebibonmnhog
  • dbagndmcddecodlmnlcmhheicgkaglpk
  • fmgfcpjmmapcjlknncjgmbolgaecngfo
  • kgmlodoegkmpfkbepkfhgeldidodgohd
  • hegpgapbnfiibpbkanjemgmdpmmlecbc
  • gkanlgbbnncfafkhlchnadcopcgjkfli
  • oghgaghnofhhoolfneepjneedejcpiic
  • fcidgbgogbfdcgijkcfdjcagmhcelpbc
  • nnceocbiolncfljcmajijmeakcdlffnh
  • domfmjgbmkckapepjahpedlpdedmckbj
  • cbkogccidanmoaicgphipbdofakomlak
  • bmlifknbfonkgphkpmkeoahgbhbdhebh
  • ghaggkcfafofhcfppignflhlocmcfimd
  • hfeialplaojonefabmojhobdmghnjkmf
  • boiciofdokedkpmopjnghpkgdakmcpmb
  • ibfpbjfnpcgmiggfildbcngccoomddmj
  • idjhfmgaddmdojcfmhcjnnbhnhbmhipd
  • jhgfinhjcamijjoikplacnfknpchndgb
  • cgjgmbppcoolfkbkjhoogdpkboohhgel
  • afooldonhjnhddgnfahlepchipjennab
  • fkbcbgffcclobgbombinljckbelhnpif
  • fpokgjmlcemklhmilomcljolhnbaaajk
  • hadkldcldaanpomhhllacdmglkoepaed
  • iedkeilnpbkeecjpmkelnglnjpnacnlh
  • hjfmkkelabjoojjmjljidocklbibphgl
  • dhjmmcjnajkpnbnbpagglbbfpbacoffm
  • cgehahdmoijenmnhinajnojmmlnipckl
  • fjigdpmfeomndepihcinokhcphdojepm
  • chmcepembfffejphepoongapnlchjgil
  • googojfbnbhbbnpfpdnffnklipgifngn
  • fodcokjckpkfpegbekkiallamhedahjd
  • igiakpjhacibmaichhgbagdkjmjbnanl
  • omkjakddaeljdfgekdjebbbiboljnalk
  • llilhpmmhicmiaoancaafdgganakopfg
  • nemkiffjklgaooligallbpmhdmmhepll
  • papedehkgfhnagdiempdbhlgcnioofnd
  • glfddenhiaacfmhoiebfeljnfkkkmbjb
  • pkjfghocapckmendmgdmppjccbplccbg
  • gbcjipmcpedgndgdnfofbhgnkmghoamm
  • ncapkionddmdmfocnjfcfpnimepibggf
  • klggeioacnkkpdcnapgcoicnblliidmf
  • klgjbnheihgnmimajhohfcldhfpjnahe
  • acogeoajdpgplfhidldckbjkkpgeebod
  • ekndlocgcngbpebppapnpalpjfnkoffh
  • elckfehnjdbghpoheamjffpdbbogjhie
  • dmpceopfiajfdnoiebfankfoabfehdpn
  • gpolcigkhldaighngmmmcjldkkiaonbg
  • dfakjobhimnibdmkbgpkijoihplhcnil
  • hbghbdhfibifdgnbpaogepnkekonkdgc
  • fppchnhginnfabgenhihpncnphhafmac
  • ghhddclfklljabeodmcejjjlhoaaiban
  • bppelgkcnhfkicolffhlkbdghdnjdkhi
  • ikgaleggljchgbihlaanjbkekmmgccam
  • bdhjinjoglaijpffoamhhnhooeimgoap
  • fjioinpkgmlcioajfnncgldldcnabffe
  • opncjjhgbllenobgbfjbblhghmdpmpbj
  • cbijiaccpnkbdpgbmiiipedpepbhioel
  • fbbmnieefocnacnecccgmedmcbhlkcpm
  • hmbacpfgehmmoloinfmkgkpjoagiogai
  • paghkadkhiladedijgodgghaajppmpcg
  • bafbmfpfepdlgnfkgfbobplkkaoakjcl
  • kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
  • jelgelidmodjpmohbapbghdgcpncahki
  • lfgakdlafdenmaikccbojgcofkkhmolj
  • hdfknlljfbdfjdjhfgoonpphpigjjjak
  • kpfbijpdidioaomoecdbfaodhajbcjfl
  • fckphkcbpgmappcgnfieaacjbknhkhin
  • lhfdakoonenpbggbeephofdlflloghhi
  • ljjngehkphcdnnapgciajcdbcpgmpknc
  • ejfocpkjndmkbloiobcdhkkoeekcpkik
  • ccdimkoieijdbgdlkfjjfncmihmlpanj
  • agdlpnhabjfcbeiempefhpgikapcapjb
  • mddfnhdadbofiifdebeiegecchpkbgdb
  • alknmfpopohfpdpafdmobclioihdkhjh
  • hlglicejgohbanllnmnjllajhmnhjjel
  • iaccapfapbjahnhcmkgjjonlccbhdpjl
  • ehmnkbambjnodfbjcebjffilahbfjdml
  • ngbfciefgjgijkkmpalnmhikoojilkob
  • laholcgeblfbgdhkbiidbpiofdcbpeeo
  • njoedigapanaggiabjafnaklppphempm
  • fomlombffdkflbliepgpgcnagolnegjn
  • jpoofbjomdefajdjcimmaoildecebkjc
  • nhdiopbebcklbkpfnhipecgfhdhdbfhb
  • gdnhikbabcflemolpeaaknnieodgpiie
  • bbdioggpbhhodagchciaeaggdponnhpa
  • ikajognfijokhbgjdhgpemljgcjclpmn
  • lmnjiioclbjphkggicmldippjojgmldk
  • ffgihbmcfcihmpbegcfdkmafaplheknk
  • lgnjdldkappogbkljaiedgogobcgemch
  • hiodlpcelfelhpinhgngoopbmclcaghd
  • mnophppbmlnlfobakddidbcgcjakipin
  • jbajdpebknffiaenkdhopebkolgdlfaf
  • ejdihbblcbdfobabjfebfjfopenohbjb
  • ikkoanocgpdmmiamnkogipbpdpckcahn
  • ileojfedpkdbkcchpnghhaebfoimamop
  • akialmafcdmkelghnomeneinkcllnoih
  • eholblediahnodlgigdkdhkkpmbiafoj
  • ipokalojgdmhfpagmhnjokidnpjfnfik
  • hdpmmcmblgbkllldbccfdejchjlpochf
  • iphacjobmeoknlhenjfiilbkddgaljad
  • jiiggekklbbojgfmdenimcdkmidnfofl
  • gkhggnaplpjkghjjcmpmnmidjndojpcn
  • opakkgodhhongnhbdkgjgdlcbknacpaa
  • nkjomoafjgemogbdkhledkoeaflnmgfi
  • ebileebbekdcpfjlekjapgmbgpfigled
  • oaacndacaoelmkhfilennooagoelpjop
  • ljkgnegaajfacghepjiajibgdpfmcfip
  • hgolomhkdcpmbgckhebdhdknaemlbbaa
  • bboeoilakaofjkdmekpgeigieokkpgfn
  • dkkpollfhjoiapcenojlmgempmjekcla
  • emiocjgakibimbopobplmfldkldhhiad
  • nchdmembkfgkejljapneliogidkchiop
  • lljplndkobdgkjilfmfiefpldkhkhbbd
  • hofaaigdagglolgiefkbencchnekjejl
  • hohobnhiiohgcipklpncfmjkjpmejjni
  • jocnjcakendmllafpmjailfnlndaaklf
  • bjdclfjlhgcdcpjhmhfggkkfacipilai
  • ahebpkbnckhgjmndfjejibjjahjdlhdb
  • enaigkcpmpohpbokbfllbkijmllmpafm
  • bpngofombcjloljkoafhmpcjclkekfbh
  • cacbflgkiidgcekflfgdnjdnaalfmkob
  • ibmgdfenfldppaodbahpgcoebmmkdbac
Комментарии: 0
Похожие записи
0
17.10.2025
Индикаторы компрометации

TigerJack: тысячи разработчиков стали жертвами вредоносных расширений для VS Code

APT
С начала 2025 года специалисты по кибербезопасности Koi Security отслеживают деятельность хакерской группы TigerJack, которая систематически проникла на маркетплейсы для разработчиков.
0
09.07.2025
Индикаторы компрометации

Крупнейшая кибератака на разработчиков: зловредные расширения VS Code заразили миллионы устройств

information security
Cтало известно о масштабной киберкампании, затронувшей два крупнейших маркетплейса расширений для VS Code - официальный Visual Studio Code Marketplace и Open VSX.
0
03.07.2025
Индикаторы компрометации

Криптоджекинг в Firefox: Более 40 вредоносных расширений крадут ключи от Криптокошельков

information security
Крупная кампания по распространению вредоносных расширений для браузера Firefox, нацеленных на кражу учетных данных криптовалютных кошельков, вскрыта исследователями кибербезопасности  Koi Security.
0
15.09.2025
Индикаторы компрометации

Раскрыта схема WhiteCobra: утечка плейбука преступников демонстрирует промышленный масштаб атак через VS Code

Stealer
Группа киберпреступников WhiteCobra, стоящая за серией вредоносных расширений для популярных редакторов кода, допустила критическую ошибку, позволившую исследователям получить доступ к её внутренней документации.