过去很长时间以来,我们都把注意力放在手机 App 权限、AI 隐私、大公司数据泄露等安全事件上,却忘了:浏览器扩展——这个每天都会用,却从来不警惕的角落,可能才是风险最大的入口。
2025 年 12 月 1 日,全球网络安全媒体 BleepingComputer 发布了一则文章:
《 ShadyPanda 浏览器扩展程序在恶意活动中累计安装量达 430 万次 [1] Inside ShadyPanda's 7-Year Malware Campaign [2]
它们长什么样?
但实际上,这些扩展在暗地里做的事只有一句话:监视你、控制你、赚钱、甚至把你的数据卖掉。
ShadyPanda 的恶意扩展
根据 BleepingComputer 的报告,这个名为 ShadyPanda 的组织,多年来共运营:
• 145 个 Chrome / Edge 恶意扩展
• 20 个来自 Chrome Web Store
• 125 个来自 Edge Add-ons
这些扩展并不会在开始的时候就出现问题,而是在长期更新的过程中,通过逐渐索要权限、暗中注入代码的方式,逐步转变成恶意工具。
恶意扩展到底做了什么?
在用户完全不知情的情况下,它们会:
• 收集浏览行为、搜索记录
• 劫持访问路径、注入广告(亚马逊、eBay跟踪代码)
• 重定向链接插入推广码(赚佣金)
• 读取 Cookie、泄露到服务器
• 远程加载脚本,执行任意代码(后门!)
到 2024 年,这个组织更是将五个扩展更新成真正的后门:每小时检查恶意服务器,执行远程代码。
所有浏览记录、设备指纹、持久化 ID,全被加密上传到 cleanmasters.store。
尤其是 Clean Master:
• 多年正常
• 在商店中带“精选 / Verified”标识
• 安装量超过 30 万
• 自动更新后,加入恶意代码
• 每小时执行远程命令,拥有完整浏览器权限
这意味着:
攻击者随时可以让你的浏览器做任何事。
攻击仍在进行:400 万用户成为最新目标
研究人员发现,攻击现在仍在进行。
“Starlab Technology” 在 Edge 商店上架的 5 个扩展,自 2023 年以来累计安装 超过 400 万次。
间谍组件会收集:
• 浏览历史
• 搜索查询、按键
• 鼠标点击精确坐标
• localStorage / sessionStorage
• Cookie
• 指纹数据(分辨率、语言、时区等)
所有数据会被上传到 17 个域名(含 8 个百度服务器、7 个 WeTab 服务器、Google Analytics)。
为什么能存在 8 年之久?
因为这些扩展:
• 初期无害、正常运行
• 用户信任、评分高
• 浏览器自动更新
• 恶意代码通常在“后期更新”里出现
一个你装了多年的扩展,只需一次更新,就能彻底接管你的浏览器。
WeTab / Infinity New Tab 是否被牵连?
BleepingComputer 的文章中出现了两个中国用户非常熟悉的扩展名字:
• WeTab 新标签页
• Infinity New Tab (Pro)
KOI 的报告指出:
Clean Master 背后的同一发布者 “Starlab Technology” 在 Edge 上推出了 5 款扩展,累计 400 万安装。其中两款是功能全面的间谍软件。WeTab 单独就有 300 万安装。
并列出了 WeTab 收集的数据类型(浏览历史、搜索查询、鼠标点击、指纹数据、存储、Cookie 等)。
WeTab 的回应
WeTab 做出了官方回应(关于近期安全报告提及Clean Master、WeTab、Infinity等浏览器扩展的情况说明,核心内容如下:
Clean Master 与 WeTab 无关(官方说法)
• Clean Master 的 Chrome 版本已整体出售给第三方
• 2024 年被恶意更新的 Clean Master 不是 WeTab 团队发布的版本
• WeTab 自己的 Edge 版本早在 2020 年就已停止更新并于2024年主动下架
WeTab / Infinity 自查后表示:未发现恶意行为
• 没有发现远程代码执行后门
• 没有未经授权执行第三方脚本
由于 Clean Master 与 WeTab、Infinity 曾使用同一开发者账号上架,当相关账号因 Clean Master 事件受到平台风控审查时,平台出于整体风险控制,会对同一账号下的多款扩展采取「统一处理」或「临时下架」措施。
目前 WeTab 与 Infinity 均可在 Chrome 商店正常下载。
关于报道中出现的 Infinity V+,WeTab 是这样说的:
说实话没看太懂,我的理解是 Infinity V+ 是个冒牌货,不是 WeTab 的产品。
其他就没什么了,有兴趣的可以前往阅读原文。
截至目前,还没有找到任何公开的第三方/安全机构/研究团队,对 WeTab 扩展进行过独立安全分析。
但同时,也没有第三方独立验证能够证明:KOI 提到的 WeTab 收集行为就是来自“官方 WeTab 版本”。
我们能做什么?
• 删除不用的扩展
• 不安装陌生来源的“美化、新标签页”类扩展
• 定期检查权限
• 优先使用大厂、开源、透明的扩展
• 不要把“高评分”和“安装量大”视为安全保证
最后
ShadyPanda 让我们看到:
真正危险的,不是明显的恶意软件,而是那些“多年正常、某天突然变坏”的扩展。
浏览器扩展生态的信任体系正在被黑产系统性利用。这不是一次事件,而是一种趋势。
我们能做的,就是保持警惕,减少依赖,明白一点:
任何扩展,都有一天可能变成恶意的。
引用链接
[1]
ShadyPanda 浏览器扩展程序在恶意活动中累计安装量达 430 万次:https://www.bleepingcomputer.com/news/security/shadypanda-browser-extensions-amass-43m-installs-in-malicious-campaign/
[2]
Inside ShadyPanda's 7-Year Malware Campaign:https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign
所有有关恶意扩展 ID 完整列表
最后,Koi 还附上了所有与 ShadyPanda 行动相关的扩展 ID 的完整列表:
C&C Domains:
extensionplay[.]com
• yearnnewtab[.]com
• api.cgatgpt[.]net
Exfiltrations Domains:
• dergoodting[.]com
• yearnnewtab[.]com
• cleanmasters[.]store
• s-85283.gotocdn[.]com
• s-82923.gotocdn[.]com
Chrome Extensions:
• eagiakjmjnblliacokhcalebgnhellfi
• ibiejjpajlfljcgjndbonclhcbdcamai
• ogjneoecnllmjcegcfpaamfpbiaaiekh
• jbnopeoocgbmnochaadfnhiiimfpbpmf
• cdgonefipacceedbkflolomdegncceid
• gipnpcencdgljnaecpekokmpgnhgpela
• bpgaffohfacaamplbbojgbiicfgedmoi
• ineempkjpmbdejmdgienaphomigjjiej
• nnnklgkfdfbdijeeglhjfleaoagiagig
• Mljmfnkjmcdmongjnnnbbnajjdbojoci
• llkncpcdceadgibhbedecmkencokjajg
• nmfbniajnpceakchicdhfofoejhgjefb
• ijcpbhmpbaafndchbjdjchogaogelnjl
• olaahjgjlhoehkpemnfognpgmkbedodk
• gnhgdhlkojnlgljamagoigaabdmfhfeg
• cihbmmokhmieaidfgamioabhhkggnehm
• lehjnmndiohfaphecnjhopgookigekdk
• hlcjkaoneihodfmonjnlnnfpdcopgfjk
• hmhifpbclhgklaaepgbabgcpfgidkoei
• lnlononncfdnhdfmgpkdfoibmfdehfoj
• nagbiboibhbjbclhcigklajjdefaiidc
• ofkopmlicnffaiiabnmnaajaimmenkjn
• ocffbdeldlbilgegmifiakciiicnoaeo
• eaokmbopbenbmgegkmoiogmpejlaikea
• lhiehjmkpbhhkfapacaiheolgejcifgd
• ondhgmkgppbdnogfiglikgpdkmkaiggk
• imdgpklnabbkghcbhmkbjbhcomnfdige
Edge Add-ons:
• bpelnogcookhocnaokfpoeinibimbeff
• enkihkfondbngohnmlefmobdgkpmejha
• hajlmbnnniemimmaehcefkamdadpjlfa
• aadnmeanpbokjjahcnikajejglihibpd
• ipnidmjhnoipibbinllilgeohohehabl
• fnnigcfbmghcefaboigkhfimeolhhbcp
• nlcebdoehkdiojeahkofcfnolkleembf
• fhababnomjcnhmobbemagohkldaeicad
• nokknhlkpdfppefncfkdebhgfpfilieo
• ljmcneongnlaecabgneiippeacdoimaa
• onifebiiejdjncjpjnojlebibonmnhog
• dbagndmcddecodlmnlcmhheicgkaglpk
• fmgfcpjmmapcjlknncjgmbolgaecngfo
• kgmlodoegkmpfkbepkfhgeldidodgohd
• hegpgapbnfiibpbkanjemgmdpmmlecbc
• gkanlgbbnncfafkhlchnadcopcgjkfli
• oghgaghnofhhoolfneepjneedejcpiic
• fcidgbgogbfdcgijkcfdjcagmhcelpbc
• nnceocbiolncfljcmajijmeakcdlffnh
• domfmjgbmkckapepjahpedlpdedmckbj
• cbkogccidanmoaicgphipbdofakomlak
• bmlifknbfonkgphkpmkeoahgbhbdhebh
• ghaggkcfafofhcfppignflhlocmcfimd
• hfeialplaojonefabmojhobdmghnjkmf
• boiciofdokedkpmopjnghpkgdakmcpmb
• ibfpbjfnpcgmiggfildbcngccoomddmj
• idjhfmgaddmdojcfmhcjnnbhnhbmhipd
• jhgfinhjcamijjoikplacnfknpchndgb
• cgjgmbppcoolfkbkjhoogdpkboohhgel
• afooldonhjnhddgnfahlepchipjennab
• fkbcbgffcclobgbombinljckbelhnpif
• fpokgjmlcemklhmilomcljolhnbaaajk
• hadkldcldaanpomhhllacdmglkoepaed
• iedkeilnpbkeecjpmkelnglnjpnacnlh
• hjfmkkelabjoojjmjljidocklbibphgl
• dhjmmcjnajkpnbnbpagglbbfpbacoffm
• cgehahdmoijenmnhinajnojmmlnipckl
• fjigdpmfeomndepihcinokhcphdojepm
• chmcepembfffejphepoongapnlchjgil
• googojfbnbhbbnpfpdnffnklipgifngn
• fodcokjckpkfpegbekkiallamhedahjd
• igiakpjhacibmaichhgbagdkjmjbnanl
• omkjakddaeljdfgekdjebbbiboljnalk
• llilhpmmhicmiaoancaafdgganakopfg
• nemkiffjklgaooligallbpmhdmmhepll
• papedehkgfhnagdiempdbhlgcnioofnd
• glfddenhiaacfmhoiebfeljnfkkkmbjb
• pkjfghocapckmendmgdmppjccbplccbg
• gbcjipmcpedgndgdnfofbhgnkmghoamm
• ncapkionddmdmfocnjfcfpnimepibggf
• klggeioacnkkpdcnapgcoicnblliidmf
• klgjbnheihgnmimajhohfcldhfpjnahe
• acogeoajdpgplfhidldckbjkkpgeebod
• ekndlocgcngbpebppapnpalpjfnkoffh
• elckfehnjdbghpoheamjffpdbbogjhie
• dmpceopfiajfdnoiebfankfoabfehdpn
• gpolcigkhldaighngmmmcjldkkiaonbg
• dfakjobhimnibdmkbgpkijoihplhcnil
• hbghbdhfibifdgnbpaogepnkekonkdgc
• fppchnhginnfabgenhihpncnphhafmac
• ghhddclfklljabeodmcejjjlhoaaiban
• bppelgkcnhfkicolffhlkbdghdnjdkhi
• ikgaleggljchgbihlaanjbkekmmgccam
• bdhjinjoglaijpffoamhhnhooeimgoap
• fjioinpkgmlcioajfnncgldldcnabffe
• opncjjhgbllenobgbfjbblhghmdpmpbj
• cbijiaccpnkbdpgbmiiipedpepbhioel
• fbbmnieefocnacnecccgmedmcbhlkcpm
• hmbacpfgehmmoloinfmkgkpjoagiogai
• paghkadkhiladedijgodgghaajppmpcg
• bafbmfpfepdlgnfkgfbobplkkaoakjcl
• kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
• jelgelidmodjpmohbapbghdgcpncahki
• lfgakdlafdenmaikccbojgcofkkhmolj
• hdfknlljfbdfjdjhfgoonpphpigjjjak
• kpfbijpdidioaomoecdbfaodhajbcjfl
• fckphkcbpgmappcgnfieaacjbknhkhin
• lhfdakoonenpbggbeephofdlflloghhi
• ljjngehkphcdnnapgciajcdbcpgmpknc
• ejfocpkjndmkbloiobcdhkkoeekcpkik
• ccdimkoieijdbgdlkfjjfncmihmlpanj
• agdlpnhabjfcbeiempefhpgikapcapjb
• mddfnhdadbofiifdebeiegecchpkbgdb
• alknmfpopohfpdpafdmobclioihdkhjh
• hlglicejgohbanllnmnjllajhmnhjjel
• iaccapfapbjahnhcmkgjjonlccbhdpjl
• ehmnkbambjnodfbjcebjffilahbfjdml
• ngbfciefgjgijkkmpalnmhikoojilkob
• laholcgeblfbgdhkbiidbpiofdcbpeeo
• njoedigapanaggiabjafnaklppphempm
• fomlombffdkflbliepgpgcnagolnegjn
• jpoofbjomdefajdjcimmaoildecebkjc
• nhdiopbebcklbkpfnhipecgfhdhdbfhb
• gdnhikbabcflemolpeaaknnieodgpiie
• bbdioggpbhhodagchciaeaggdponnhpa
• ikajognfijokhbgjdhgpemljgcjclpmn
• lmnjiioclbjphkggicmldippjojgmldk
• ffgihbmcfcihmpbegcfdkmafaplheknk
• lgnjdldkappogbkljaiedgogobcgemch
• hiodlpcelfelhpinhgngoopbmclcaghd
• mnophppbmlnlfobakddidbcgcjakipin
• jbajdpebknffiaenkdhopebkolgdlfaf
• ejdihbblcbdfobabjfebfjfopenohbjb
• ikkoanocgpdmmiamnkogipbpdpckcahn
• ileojfedpkdbkcchpnghhaebfoimamop
• akialmafcdmkelghnomeneinkcllnoih
• eholblediahnodlgigdkdhkkpmbiafoj
• ipokalojgdmhfpagmhnjokidnpjfnfik
• hdpmmcmblgbkllldbccfdejchjlpochf
• iphacjobmeoknlhenjfiilbkddgaljad
• jiiggekklbbojgfmdenimcdkmidnfofl
• gkhggnaplpjkghjjcmpmnmidjndojpcn
• opakkgodhhongnhbdkgjgdlcbknacpaa
• nkjomoafjgemogbdkhledkoeaflnmgfi
• ebileebbekdcpfjlekjapgmbgpfigled
• oaacndacaoelmkhfilennooagoelpjop
• ljkgnegaajfacghepjiajibgdpfmcfip
• hgolomhkdcpmbgckhebdhdknaemlbbaa
• bboeoilakaofjkdmekpgeigieokkpgfn
• dkkpollfhjoiapcenojlmgempmjekcla
• emiocjgakibimbopobplmfldkldhhiad
• nchdmembkfgkejljapneliogidkchiop
• lljplndkobdgkjilfmfiefpldkhkhbbd
• hofaaigdagglolgiefkbencchnekjejl
• hohobnhiiohgcipklpncfmjkjpmejjni
• jocnjcakendmllafpmjailfnlndaaklf
• bjdclfjlhgcdcpjhmhfggkkfacipilai
• ahebpkbnckhgjmndfjejibjjahjdlhdb
• enaigkcpmpohpbokbfllbkijmllmpafm
• bpngofombcjloljkoafhmpcjclkekfbh
• cacbflgkiidgcekflfgdnjdnaalfmkob
• ibmgdfenfldppaodbahpgcoebmmkdbac
