数百万用户天塌了！WeTab、Infinity V+等知名扩展被曝恶意劫持

摘要： 12月2日消息，网络安全公司KOI Security日前曝光了一个名为ShadyPanda的长期恶意软件行为，持续收集用户隐私信息。其中，比较知名的扩展程序包括WeTab 新标签...

12月2日消息，网络安全公司KOI Security日前曝光了一个名为ShadyPanda的长期恶意软件行为，持续收集用户隐私信息。

其中，比较知名的扩展程序包括WeTab 新标签页和Infinity V+ 新标签页。

该公司开发的扩展程序累计下载量超过430万次，涉及多达145个恶意扩展程序。

KOI Security发现，这些看似合法的扩展程序，通过多阶段的演变，最终沦为功能强大的间谍软件和后门程序：

初期（2023年）：伪装成壁纸和生产力工具，主要通过在eBay、Booking.com和Amazon的合法链接中注入跟踪代码来获取用户购物返利。

中期（2024年初）：恶意行为升级，例如Infinity V+扩展程序开始执行搜索劫持，将用户的搜索请求重定向到trovi[.]com，并窃取用户的Cookies和搜索记录。

后期（2024年）：最具威胁性的功能出现，五个扩展被修改，包括三个在2018年和2019年上传、积累了良好声誉的扩展程序，通过更新被植入了一个后门，使其具备远程代码执行的能力。

KOI Security指出，后门会每小时检查一次服务器，下载并执行任意JavaScript，从而获得浏览器API的完全访问权限。

这些恶意行为会收集用户大量的敏感数据，并将其发送到17个不同域名，收集的数据包括：

浏览历史记录

搜索查询和按键记录

带有坐标的鼠标点击记录

Cookies和本地/会话存储数据

指纹识别信息

目前谷歌已将这些恶意扩展程序从其Chrome扩展商店中移除，但仍存在于微软Edge的扩展商店中。

安全专家强烈建议用户立即移除这些扩展程序，并出于安全考虑，重置其所有在线账户的密码。

消息曝光后，不少用户纷纷表示天塌了，毕竟这么多的安装量，用户量确实不算小。