2025 年 12 月由网络安全机构 KOI Security 曝光的一起大规模浏览器扩展程序恶意攻击事件。攻击者代号为ShadyPanda，其通过多款 Chrome 和 Edge 浏览器的新标签页类扩展程序实施长期投毒攻击，累计感染约 430 万用户，以下是该事件的详细情况：

1. 涉事扩展与前期潜伏：此次事件中核心涉事的知名扩展程序包括 “WeTab 新标签页”“Infinity V + 新标签页” 以及 Clean Master 等，累计涉及 145 个恶意扩展程序。ShadyPanda 的攻击策略极具隐蔽性，布局长达七年。这些扩展初期伪装成壁纸、生产力工具等合法软件，部分还获得了谷歌的官方验证标识与 “精选” 状态，靠正常功能积累用户信任和下载量，最长的在合法运营五年后才开始作恶。
2. 恶意行为的分阶段升级
   • 2023 年：处于初步作恶阶段，主要是在亚马逊、eBay 等购物网站的合法链接中注入跟踪代码，以此获取购物返利，恶意程度相对较低。
   • 2024 年初：恶意行为升级，像 “Infinity V+” 开始执行搜索劫持，把用户的搜索请求强行重定向到trovi.com，同时窃取用户的 Cookies 和搜索记录。
   • 2024 年中及以后：攻击进入高危阶段，包含 3 个早期上传的高口碑扩展在内的 5 款插件，被植入后门，获得远程代码执行能力。该后门每小时会向指定服务器请求一次，可下载并执行任* 代码，攻击者借此能完全操控浏览器 API。
3. 窃取数据与隐蔽手段：这些恶意扩展收集的数据十分全面，涵盖用户的每一个访问 URL、鼠标点击位置、页面停留时长、搜索内容等。而且它们还具备高级反调试技术，一旦检测到用户打开开发者工具调试，就会立刻停止恶意行为，伪装回正常工具模式，极大增加了被发现的难度。收集到的数据经加密混淆后，会被发送到攻击者控制的多个域名服务器。
4. 事件后续与应对措施：事件曝光后，谷歌已将涉事恶意扩展从 Chrome 网上应用商店下架，但当时部分扩展仍存在于微软 Edge 的扩展商店中。安全专家给出紧急建议，用户需立即卸载涉事扩展程序，同时重置所有在线账户密码，避免因 Cookie 和账号信息被盗导致进一步损失。

此次事件暴露了浏览器应用商店审核机制的漏洞 —— 仅对提交时的插件进行审核，缺乏对更新后程序的持续监控，使得攻击者能通过正常版本更新推送恶意代码，这也给浏览器插件安全防护敲响了警钟。