L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.Contexte
Une campagne malveillante menée pendant sept ans à l'aide d'extensions de navigateur a infecté 4,3 millions d'utilisateurs de Google Chrome et Microsoft Edge avec des logiciels malveillants, notamment des portes dérobées et des logiciels espions qui envoyaient les données des utilisateurs vers des serveurs situés en Chine. Et, selon les chercheurs de Koi, cinq des extensions ayant été installées plus de 4 millions de fois sont toujours disponibles sur la boutique Edge.
Les pirates, que Koi a baptisés ShadyPanda, ont joué la carte de la patience : ils ont publié des extensions légitimes, accumulant des milliers, voire des millions de téléchargements sur plusieurs années, puis ont diffusé une mise à jour contenant des logiciels malveillants qui s'installait automatiquement sur tous les appareils des utilisateurs.
Comme les deux marketplaces examinent les extensions lors de leur soumission (il ne s'agit pas d'un processus continu), ces outils de productivité apparemment exceptionnels, dont certains bénéficiaient du statut « Featured » (Recommandé) et « Verified » (Vérifié) ainsi que d'avis élogieux de la part des utilisateurs et d'un nombre élevé d'installations, ont pu suivre le comportement des utilisateurs et voler des informations sensibles en toute discrétion pendant des années.
« Pas de phishing. Pas d'ingénierie sociale. Juste des extensions fiables avec des mises à jour discrètes qui ont transformé des outils de productivité en plateformes de surveillance », a déclaré l'équipe de recherche des menaces dans un blog publié lundi.
La menace invisible : quand le temps joue pour les attaquants
Les extensions incriminées ne sont pas apparues comme des malwares classiques. Elles ont d’abord offert un réel service, parfois très utile, souvent très simple : convertisseurs de fichiers, comparateurs de prix, outils PDF, widgets météo. Rien qui ne puisse déclencher la méfiance d’un utilisateur, et encore moins celle d’une équipe IT habituée aux add-ons répandus dans les environnements de travail.
Ce qui rend l’opération unique est la temporalité. Les extensions ont attendu. Plusieurs mois, parfois plusieurs années. Cette patience leur a permis de bâtir une réputation légitime, d’obtenir de bonnes évaluations, d’être recommandées sur des forums, voire parfois intégrées aux environnements professionnels sans alerte. Un scénario parfait pour une attaque différée et massive.
Envoyé par Koi
Les chercheurs de Koi ont identifié un acteur malveillant que nous avons baptisé ShadyPanda, responsable d'une campagne de sept ans visant les extensions de navigateur qui a infecté 4,3 millions d'utilisateurs de Chrome et Edge.
Notre enquête a mis au jour deux opérations actives :
Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.
Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.
Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.
Notre enquête a mis au jour deux opérations actives :
Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.
Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.
Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.
L’activation du code malveillant : un interrupteur après des années de sommeil
Les chercheurs expliquent que le déclenchement du code malveillant s’est fait via des mises à jour entièrement conformes au mécanisme de distribution officiel du Chrome Web Store et de l’Edge Add-ons Store. Aucune vulnérabilité n’a été exploitée : les attaquants ont tout simplement profité de la confiance accordée par les utilisateurs.
Derrière ces mises à jour, les extensions se sont transformées en plateformes d’espionnage. Elles ajoutaient progressivement des fonctions de backdoor, siphonnaient des données de navigation et exécutaient du code venant de serveurs command-and-control soigneusement masqués. Certaines extensions...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
