4.3 Million Chrome and Edge Users Hacked in 7-Year ShadyPanda Malware Campaign
2025/12/01 CyberSecurityNews — ShadyPanda という高度な攻撃グループが、7年間にわたり Chrome および Edge の 430万人のユーザーをマルウェアに感染させてきたという。この攻撃グループは、ブラウザ・マーケットプレイスへの信頼を悪用し、おすすめ/検証済みと表示されたエクステンションを武器化することで、従来のセキュリティ・アラームにより検知されることなく、リモート・コード実行 (RCE) バックドアおよび大規模スパイウェア攻撃を展開してきた。
調査の結果により明らかになったのは、ShadyPanda の戦略が即時的というより長期的な攻撃を目指していることだった。このグループは、Clean Master などの正規のエクステンションを長年にわたり展開し、ユーザー・ベースを構築/拡大することで、Google や Microsoft からの信頼を獲得していた。2024年半ばの時点で、30万人のユーザー・ベースを確立した後に、彼らは悪意のアップデートを静かに配信し始めた。
このアップデートにより ShadyPanda のエクステンションは、RCE を実行する仕組みへと変貌した。具体的に言うと、感染したブラウザは1時間ごとに C2 (Command-and-Control) サーバ “api.extensionplay[.]com” に接続し、任意の JavaScript をダウンロードしてブラウザの権限で実行していた。
この仕組みにより、攻撃者は静的解析を完全に回避しながら、監視用のペイロードをランサムウェアや認証情報窃取のためのペイロードへと、動的に切り替えることが可能になっていた。
430万人の Chrome/Edge ユーザーがハッキングされた
この RCE 攻撃は精密な性質を持つものであり、ShadyPanda のフェーズ4キャンペーンは産業規模へと拡大している。Microsoft Edge マーケットプレイスで展開されている5つのエクステンション (人気の WeTab を含む) は、現時点において 400万人以上のユーザーに利用されている。
マーケットプレイスから削除された Chrome 用のエクステンションとは異なり、これらの Edge アドオンは引き続き提供されている。これらのエクステンションは、包括的なブラウザ・フィンガープリント/検索クエリ/完全な URL を積極的に収集し、そのデータを Baidu や民間インフラなどの中国のサーバに送信している。
このマルウェアは、ピクセル単位の精度でマウスクリックを捕捉し、閲覧履歴をリアルタイムで流出させる。それにより、企業や個人のブラウザは事実上、監視装置として機能する。
Koi Security のレポートによると、ShadyPanda マルウェア・キャンペーンにより収集/流出されるデータポイントは以下となる。
| Data Category | Specific Details Collected | Campaign / Source | Exfiltration Method |
|---|---|---|---|
| Browsing Activity | – Complete URL history of every visited site – HTTP Referrers (showing navigation origin) – Navigation patterns and timestamps | Phase 3 (Clean Master) Phase 4 (WeTab) | Encrypted AES (Phase 3) Real-time transmission (Phase 4) |
| User Input & Search | – Search queries (Google, Bing, etc.) – Real-time keystrokes (capturing typos & corrections) – Pre-search intent (profiling before “Enter” is hit) | Phase 2 (Infinity V+) Phase 4 (WeTab) | Unencrypted HTTP (Phase 2) Transmitted to Baidu/WeTab servers (Phase 4) |
| Device Fingerprinting | – User Agent strings – Operating System & Platform – Screen resolution & Timezone settings – System language | Phase 3 Phase 4 | Used to build unique profiles that survive anti-tracking tools |
| Behavioral Biometrics | – Mouse click coordinates (X/Y positions) – Specific page elements clicked – Scroll behavior and depth – Active time spent on specific pages | Phase 4 (WeTab) | High-frequency logging sent to surveillance servers in China |
| Identity & Storage | – Persistent UUID4 identifiers (survives browser restarts) – Content of localStorage and sessionStorage – Browser Cookies (enabling session hijacking) | Phase 2 Phase 3 Phase 4 | – Persistent UUID4 identifiers (survive browser restarts) – Content of localStorage and sessionStorage – Browser Cookies (enabling session hijacking) |
ShadyPanda の成功が浮き彫りにするのは、ブラウザ・セキュリティ・モデルの重大な欠陥である。信頼関係は静的である一方で、そのコードは動的である。初期審査を通過した後に、自動更新パイプラインを武器化するまで数年を費やすことで、この攻撃者は Chrome/Edge ストアの主要防御メカニズムの回避に成功した。
皮肉なことに、ユーザー保護を目的とするエクステンションの自動更新機能が、企業ファイアウォールの背後で感染を拡散させる経路になっていた。
信頼を容易に得られるブラウザ・エクステンションの、登録/配信の仕組みが悪用されています。長期間にわたり正規エクステンションとして振る舞うことで評価を高め、十分なユーザー数を獲得してから悪意のアップデートを配信し、大規模な感染を引き起こすことに、このグループは成功しています。また、エクステンションが自動更新されるため、マルウェア化したコードが展開されても、ユーザーが気付かないという構造も問題の一因と言えます。ご利用のチームは、ご注意ください。よろしければ、Extension での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.