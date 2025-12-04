2025年12月04日 11時15分 セキュリティ

ステルス性の高いブラウザ拡張機能で430万人がマルウェアに感染、「ShadyPanda」による7年間の攻撃で影響を受けたChrome・Edge拡張機能リストはコレ



普通の拡張機能を装ってユーザーの人気を集め、突然悪意のあるコードをプッシュするという手法で、合計約430万人がマルウェアに感染したことが分かりました。ユーザーは検索クエリや閲覧履歴、ページ滞在履歴等、複数の機密データを窃取され、中国のサーバーに送信されています。



4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign | Koi Blog

https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign



セキュリティ企業「Koi Security」の調査により、7年間にわたり潜伏しつつユーザーに攻撃を仕掛けた攻撃者の存在と、その攻撃手法が明らかになりました。Koi Securityは攻撃者を「ShadyPanda」と名付けてその手法を公開しています。





ShadyPandaが実行したのは、30万人のユーザーを標的とするバックドアの設置と、400万人を標的とするスパイウェア活動です。



ShadyPandaの最初の攻撃はシンプルながらも大規模で、2023年に展開されました。ChromeとEdge、合わせて145個の壁紙や生産性向上アプリを装った拡張機能で、ユーザーがeBay、Amazon、Booking.comをクリックするたびにアフィリエイトコードを密かに挿入するという攻撃を仕掛けたのです。



2024年にはShadyPandaの攻撃がさらに大胆になり、ユーザーが行った検索の内容や訪問履歴をすべて記録し、外部に販売するという能動的な攻撃に切り替わりました。さらに、ユーザーが検索ボックスで入力したすべてのキーストロークも収集していたため、単純な検索クエリだけでは分からないユーザーの細かなタイピングが赤裸々に把握されていたそうです。



上記の攻撃を行う拡張機能は頻繁に摘発され、リリースから数週間から数カ月でストアから削除されることもありました。こうした事態を予期してか、ShadyPandaはより長期的な戦略を仕掛けていました。





ShadyPandaは2018年から2019年にリリースした3つの拡張機能を含む、合計5つの主要な拡張機能をひそかに育てていました。その中には「Clean Master」という名前をした一見普通の拡張機能もあり、これは20万回以上インストールされるなど人気を集めていました。そうして信頼を築き、ユーザーを十分集めたところで、突如として悪意のあるコードを挿入したのです。



2024年半ば、ShadyPandaは5つの主要な拡張機能に悪意のあるコードを挿入するアップデートを配信しました。5つの拡張機能すべてが同一のマルウェアを実行しており、これに感染したブラウザは全て、任意のJavaScriptをダウンロードして実行されてしまいます。これは特定の機能を持つマルウェアではなくバックドアとして機能し、今日は監視、明日はランサムウェア、明後日は認証情報窃取というように、攻撃者の意図によって動作が変わるそうです。



報告時点では、すべてのウェブサイト訪問を監視し、ユーザーが閲覧したURL、ブラウザのフィンガープリント、ユーザーエージェント等を収集し、データを暗号化してShadyPandaのサーバーに送信するという動作を行っています。こうした拡張機能のコードは難読化され、開発者ツールで調査しようとするとそれを検知して無害な動作に切り替えるなど、巧妙に攻撃が隠されているとのことです。





ShadyPandaの最大の攻撃は、Edge向けに開発された拡張機能で行われました。ShadyPandaはStarlab Technologyという開発者名で2023年頃に5つの拡張機能を追加リリースし、合計400万回以上のインストール数を達成。これらに悪意のあるコードを挿入し、武器化しました。特に人気のある「WeTab New Tab Page」という拡張機能は、閲覧履歴やフィンガープリントに加え、キーストロークを含むユーザーの検索クエリ、マウスクリックの正確な座標、ページ滞在時間といった膨大なデータを収集し、中国の15カ所のサーバーを含む17の異なるドメインに流出させるそうです。



こうした拡張機能の存在がストアから見逃されているのは、ストアが拡張機能の初提出時にのみ精査を行い、継続的な監視を行っていないのが理由だと、Koi Securityは説明しています。



影響を受けた拡張機能は以下のページから確認できます。



Untitled - Pastebin.com

https://pastebin.com/eXb9GRjK

