ShadyPanda Turns Popular Browser Extensions with 4.3 Million Installs Into Spyware

1 minute de lecture

Mis à jour : December 01, 2025

Campagne d’Extensions Navigateur Transformées en Logiciels Espions par ShadyPanda

Une campagne de longue haleine, menée par le groupe de menaces ShadyPanda, a vu plusieurs extensions de navigateur populaires, cumulant plus de 4,3 millions d’installations, être transformées en outils d’espionnage. Ces extensions, initialement légitimes, ont été infectées par des mises à jour malveillantes à partir de mi-2024. Elles exécutent désormais du code arbitraire, surveillent les visites de sites web, exfiltrent l’historique de navigation chiffré et collectent des empreintes digitales du navigateur. L’une des extensions, Clean Master, avait été précédemment vérifiée par Google, renforçant la confiance des utilisateurs.

Une autre série de cinq extensions, dont WeTab avec trois millions d’installations, est conçue pour enregistrer chaque URL visitée, les requêtes de recherche et les clics de souris, transmettant ces informations à des serveurs basés en Chine. Ces extensions ont également été utilisées pour de la fraude publicitaire en injectant des codes de suivi et, plus tard, pour détourner les recherches et voler des cookies.

L’exploitation de la confiance accordée aux extensions vérifiées et au mécanisme de mise à jour automatique des navigateurs, sans recours à des techniques d’ingénierie sociale, a permis à ShadyPanda de mener cette campagne sur sept ans. L’analyse suggère que les marchés d’extensions examinent les soumissions mais négligent la surveillance post-approbation.

Points Clés:

Acteur: ShadyPanda
Méthode: Campagne d’extensions de navigateur transformées en logiciels espions.
Portée: Plus de 4,3 millions d’installations cumulées.
Exploitation: Mises à jour malveillantes silencieuses, mécanisme de mise à jour automatique des navigateurs.
Fonctionnalités Malveillantes: Exécution de code distant, surveillance de sites web, exfiltration d’historique de navigation, collecte d’empreintes digitales de navigateur, enregistrement de requêtes de recherche et de clics, détournement de recherche, vol de cookies, attaques Adversary-in-the-Middle (AitM).
Durée: Sept ans.

Vulnérabilités:

Manque de surveillance continue des extensions après leur approbation sur les plateformes de distribution.
Exploitation de la confiance accordée aux extensions vérifiées par les plateformes.
Utilisation du mécanisme de mise à jour automatique comme vecteur d’infection.

Recommandations:

Supprimer immédiatement toutes les extensions potentiellement compromises.
Changer les identifiants de connexion par mesure de précaution.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ShadyPanda Turns Popular Browser Extensions with 4.3 Million Installs Into Spyware

Campagne d’Extensions Navigateur Transformées en Logiciels Espions par ShadyPanda

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast