KOI avslører hvordan ShadyPanda brukte WeTab og Infinity V+ til å kapre Chrome- og Edge-nettlesere via stille oppdateringer, samle telemetri og omdirigere søk.
© RusPhotoBank
WeTab og Infinity V+ er under lupen etter at cybersikkerhetseksperter sier at disse og flere andre Chrome‑utvidelser kan ha kapret nettlesere i det skjulte og hentet ut sensitiv informasjon i årevis. Ifølge KOI ble rundt 4,3 millioner brukere av Chrome og Microsoft Edge berørt. Metoden bygget ikke på phishing eller sosial manipulering, men på lydløse oppdateringer av allerede populære tillegg.
KOI tilskriver operasjonen en aktør de omtaler som ShadyPanda. Oppskriften var nøktern og effektiv: publiser fullt fungerende utvidelser, bygg publikum, vurderinger og nedlastinger over tid, og snik deretter inn oppdateringer med ondsinnet kode. Siden nettbutikkene ofte gransker førsteutgaver grundigere enn senere endringer, kunne verktøy som virket pålitelige forbli i omløp lenge. Det er et tålmodighetsløp som utnytter en kjent blind sone — og det er vanskelig å ikke se hvor fristende den svakheten er for kyniske aktører.
KOIs rapport beskriver flere hendelser, blant dem to kampanjer i 2023. I den første skal dusinvis av utvidelser utgitt som bakgrunnsbilder og nyttige småverktøy ha sporet brukeradferd og endret innhold på nettsteder som eBay, Amazon og Booking.com ved å injisere affiliatemerker og sporere for å tjene penger på kjøp og trafikkdata. I den andre knyttes de skadelige funksjonene til Infinity V+: utvidelsen omdirigerte søk til en ekstern ressurs, fanget opp informasjonskapsler, logget det som ble skrevet i søkefeltet og sendte dataene ut til eksterne servere.
KOI beskriver også en første fase der fem utvidelser fikk en bakdør som muliggjorde fjernkjøring av kode, noe som påvirket om lag 300 000 brukere. Noen hadde ligget i butikkene siden 2018–2019 og bar til og med merker som antydet at de var anbefalt; midt i 2024, etter at installasjonstallene økte, skal de ha mottatt en oppdatering som la inn bakdøren. Modulen kunne jevnlig hente kommandoer, laste ned vilkårlig JavaScript, kjøre det med nettleserens API-rettigheter og injisere ondsinnet HTTPS-innhold på hvilket som helst nettsted. Den samlet dessuten inn nettleserhistorikk, henvisere, tidsstempler, vedvarende identifikatorer, et fullstendig nettleserfingeravtrykk og annet, samtidig som den forsøkte å holde lav profil hvis utviklermodus var aktiv.
Den mest omfattende delen av funnene handler om en andre fase. KOI sier at fem andre utvidelser fra samme utvikler kom seg inn i Edge‑butikken og samlet over 4 millioner installasjoner, hvorav to potensielt kunne sette i gang installasjon av skadevare. Ny‑fane‑tillegget WeTab fikk mest oppmerksomhet: det tilskrives rundt 3 millioner installasjoner og skal ha sendt ut telemetri i det skjulte, blant annet besøkte nettadresser, søkeresultater, museklikk, nettleserens fingeravtrykk, interaksjoner på siden og hendelser knyttet til lagringstilgang. Ifølge KOI ble dataene kanalisert gjennom en rekke domener, og oppdateringsmekanismen innebar at kompromitterte nettlesere når som helst kunne gjøres om til styrbare noder for videre angrep. Det gir en ubehagelig følelse av hvor nær kanten mange brukere egentlig opererer i hverdagen.
Alt dette avdekker hvor skjør tilliten rundt utvidelser faktisk er: selv et populært og godt vurdert tillegg kan endre karakter etter en oppdatering. Rådet er enkelt, men fortjener gjentakelse — gå gjennom utvidelsene dine, fjern det du ikke trenger, se nøye på tillatelser, og hvis nettleseren oppfører seg merkelig, kjør en systemkontroll og bytt passord, særlig dersom en utvidelse kan ha fått tilgang til informasjonskapsler og nettleserhistorikk.