7年にわたる悪意あるブラウザー拡張機能キャンペーンにより、Google Chrome と Microsoft Edge のユーザー430万人がマルウェアに感染しました。これには、中国のサーバーへ人々のデータを送信するバックドアやスパイウェアが含まれます。そして Koi の研究者によると、400万件以上インストールされている拡張機能5つは、いまだに Edge マーケットプレース上で公開されたままだといいます。
Koi が ShadyPanda と名付けた攻撃者は、長期戦を仕掛けました。まず正規の拡張機能を公開し、数年かけて数千から時には数百万のダウンロード数を積み上げ、その後、ユーザー全体に自動配信されるマルウェア入りのアップデートを押し込んだのです。
両方のマーケットプレースは拡張機能を提出時に審査しますが、それは継続的なプロセスではありません。そのため、一部は「おすすめ」や「検証済み」のステータスを持ち、好意的なユーザーレビューと高いインストール数を誇る、見かけ上は優れた生産性ツールでありながら、人々の行動を追跡し、機密情報を静かに盗み出すことを、何年にもわたって許されていたのです。
「フィッシングもなし。ソーシャルエンジニアリングもなし。ただ、信頼された拡張機能が、静かなバージョンアップで生産性ツールから監視プラットフォームへと変貌しただけだ」と、脅威ハンティングチームは月曜日のブログで述べています。
Microsoft は The Register のコメント要請に応じませんでした。Google の広報担当者は、これらの拡張機能はいずれも Chrome ウェブストアでは利用できないことを確認しました。また、Google は Chrome ストア内の拡張機能について、どれほど小さな変更であっても、すべてのアップデートを審査していることを私たちは把握しています。
Koi は ShadyPanda の活動を複数のフェーズに分けて追跡しており、そのうち2つのキャンペーンはいまだに進行中だとしています。
これらのキャンペーンの1つには、リモートコード実行を可能にするバックドアで30万人のユーザーを感染させた5つの拡張機能が含まれていました。このうち3つは2018年から2019年の間にアップロードされ、「おすすめ」と「検証済み」のステータスを獲得しました。その1つである Clean Master は Starlab Technology によって公開され、20万件以上のインストール数を持っています。
2024年半ば、30万回以上ダウンロードされた後に、ShadyPanda は Chrome と Edge 上で動作していた5つすべてに対し、バックドアを含む悪意あるアップデートを配信しました。これらの拡張機能はその後、両方のマーケットプレースから削除されましたが、「大規模攻撃のためのインフラは、感染したすべてのブラウザー上に依然として展開されたままだ」と研究者たちは記しています。
このマルウェアは完全なブラウザー監視を可能にし、1時間ごとに api.extensionplay[.]com をチェックして新たな指示を取得し、任意の JavaScript をダウンロードして、ブラウザー API への完全なアクセス権限で実行します。また、HTTPS 接続を含むあらゆるウェブサイトに悪意あるコンテンツを注入することもできます。
その後 Clean Master は、盗み出したすべてのデータ ― 訪問したすべてのURL、ナビゲーションパターンを示す HTTP リファラー、行動プロファイリングのためのタイムスタンプ、永続的な UUID4 識別子、そして完全なブラウザーフィンガープリント ― を ShadyPanda が管理するサーバーへ送信します。
さらにこのマルウェアには解析回避機能が備わっており、研究者が開発者ツールを開くと無害な挙動に切り替わります。
同じパブリッシャーからの追加の5つの拡張機能が、2023年ごろに Edge 上で公開され、現在では合計400万件以上のインストール数を持っています。Koi によると、この5つはいずれも Edge マーケットプレース上でまだ公開されており、そのうち2つはユーザーのマシンにスパイウェアをインストールします。
この5つのうちの1つである WeTab は、300万件のインストール数を誇ります。これは生産性ツールを装った監視プラットフォームであり、あらゆる種類のユーザーデータをかき集めます。訪問したすべてのURL、検索クエリ、マウスクリックの追跡、ブラウザーフィンガープリント、ページとのインタラクションデータ、ストレージアクセス ― そしてこれらすべてをリアルタイムで17の異なるドメイン(中国の Baidu サーバー8台、中国の WeTab サーバー7台、そして Google Analytics)に送信します。
「この拡張機能はすでに、すべてのURLとクッキーへのアクセスを含む危険な権限を持っており、ユーザーは今この瞬間もダウンロードしています」と研究者たちは記しています。「ShadyPanda はいつでもアップデートをプッシュでき、400万のブラウザーを、(Clean Master で使われた)同じ RCE バックドアフレームワーク、あるいはそれ以上に危険なもので武装させることができます。」
Koi はまた、ShadyPanda を、すでに停止しているいくつかの過去のキャンペーンにも結びつけました。その1つは2023年に行われたもので、Chrome ウェブストア上の20個の拡張機能と、Microsoft Edge 上の125個の拡張機能が含まれ、いずれも壁紙や生産性アプリを装っていました。
このキャンペーンでは、ユーザーの閲覧データを密かに追跡・収益化する手法が使われました。誰かが eBay や Amazon、あるいは Booking.com をクリックすると、拡張機能がアフィリエイトトラッキングコードや Google Analytics のトラッカーを注入し、それらがログとして記録され、人々のウェブサイト訪問や検索クエリを販売するために利用されたのです。
2023年初頭の2つ目の停止済みキャンペーンも、Infinity V+ という新しいタブ用の生産性ツールを装っていました。これはすべてのユーザーの検索をブラウザーハイジャックサイト trovi.com にリダイレクトし、クッキーを流出させ、検索ボックスでのユーザーのキーストロークを記録して、これらすべての情報を外部サーバーに送信していました。
研究者たちによると、これらすべての ShadyPanda キャンペーンは、マーケットプレースが拡張機能を管理する方法に内在する問題を浮き彫りにしています。「彼らは承認後に何が起きているのかを監視していない」と彼らは記しています。®
2025年12月2日 23:10 GMT 更新
この記事の掲載後、Microsoft の広報担当者は次のように述べました。「Edge アドオン ストア上で悪意あるものと特定されたすべての拡張機能を削除しました。当社のポリシーに違反する事例を把握した場合、禁止コンテンツの削除や、パブリッシング契約の終了を含む、適切な措置を講じます。」
