L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.Contexte
Une campagne malveillante menée pendant sept ans à l'aide d'extensions de navigateur a infecté 4,3 millions d'utilisateurs de Google Chrome et Microsoft Edge avec des logiciels malveillants, notamment des portes dérobées et des logiciels espions qui envoyaient les données des utilisateurs vers des serveurs situés en Chine. Et, selon les chercheurs de Koi, cinq des extensions ayant été installées plus de 4 millions de fois sont toujours disponibles sur la boutique Edge.
Les pirates, que Koi a baptisés ShadyPanda, ont joué la carte de la patience : ils ont publié des extensions légitimes, accumulant des milliers, voire des millions de téléchargements sur plusieurs années, puis ont diffusé une mise à jour contenant des logiciels malveillants qui s'installait automatiquement sur tous les appareils des utilisateurs.
Comme les deux marketplaces examinent les extensions lors de leur soumission (il ne s'agit pas d'un processus continu), ces outils de productivité apparemment exceptionnels, dont certains bénéficiaient du statut « Featured » (Recommandé) et « Verified » (Vérifié) ainsi que d'avis élogieux de la part des utilisateurs et d'un nombre élevé d'installations, ont pu suivre le comportement des utilisateurs et voler des informations sensibles en toute discrétion pendant des années.
« Pas de phishing. Pas d'ingénierie sociale. Juste des extensions fiables avec des mises à jour discrètes qui ont transformé des outils de productivité en plateformes de surveillance », a déclaré l'équipe de recherche des menaces dans un blog publié lundi.
La menace invisible : quand le temps joue pour les attaquants
Les extensions incriminées ne sont pas apparues comme des malwares classiques. Elles ont d’abord offert un réel service, parfois très utile, souvent très simple : convertisseurs de fichiers, comparateurs de prix, outils PDF, widgets météo. Rien qui ne puisse déclencher la méfiance d’un utilisateur, et encore moins celle d’une équipe IT habituée aux add-ons répandus dans les environnements de travail.
Ce qui rend l’opération unique est la temporalité. Les extensions ont attendu. Plusieurs mois, parfois plusieurs années. Cette patience leur a permis de bâtir une réputation légitime, d’obtenir de bonnes évaluations, d’être recommandées sur des forums, voire parfois intégrées aux environnements professionnels sans alerte. Un scénario parfait pour une attaque différée et massive.
Envoyé par Koi
Les chercheurs de Koi ont identifié un acteur malveillant que nous avons baptisé ShadyPanda, responsable d'une campagne de sept ans visant les extensions de navigateur qui a infecté 4,3 millions d'utilisateurs de Chrome et Edge.
Notre enquête a mis au jour deux opérations actives :
Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.
Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.
Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.
Notre enquête a mis au jour deux opérations actives :
Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.
Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.
Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.
L’activation du code malveillant : un interrupteur après des années de sommeil
Les chercheurs expliquent que le déclenchement du code malveillant s’est fait via des mises à jour entièrement conformes au mécanisme de distribution officiel du Chrome Web Store et de l’Edge Add-ons Store. Aucune vulnérabilité n’a été exploitée : les attaquants ont tout simplement profité de la confiance accordée par les utilisateurs.
Derrière ces mises à jour, les extensions se sont transformées en plateformes d’espionnage. Elles ajoutaient progressivement des fonctions de backdoor, siphonnaient des données de navigation et exécutaient du code venant de serveurs command-and-control soigneusement masqués. Certaines extensions allaient jusqu’à manipuler les requêtes web, injecter des publicités invisibles ou détourner des sessions authentifiées.
Des campagnes qui étaient toujours actives quand Koi a rédigé son billet
Koi a suivi l'activité de ShadyPanda en plusieurs phases et affirme que deux campagnes sont toujours actives.
L'une de ces campagnes comprenait cinq extensions qui ont infecté 300 000 utilisateurs avec une porte dérobée permettant l'exécution de code à distance. Trois des cinq extensions ont été téléchargées entre 2018 et 2019 et ont obtenu le statut « Featured » (Recommandé) et « Verified » (Vérifié). L'une de ces extensions, appelée Clean Master et publiée par Starlab Technology, compte plus de 200 000 installations.
Au milieu de l'année 2024, après avoir été téléchargée plus de 300 000 fois, ShadyPanda a diffusé une mise à jour malveillante contenant une porte dérobée sur les cinq extensions fonctionnant sur Chrome et Edge. Bien que les extensions aient depuis été retirées des deux boutiques en ligne, « l'infrastructure nécessaire à des attaques à grande échelle reste déployée sur tous les navigateurs infectés », ont écrit les chercheurs.
Le logiciel malveillant permet une surveillance complète du navigateur, vérifiant toutes les heures si de nouvelles instructions sont disponibles sur api.extensionplay[.]com, téléchargeant des scripts JavaScript arbitraires et les exécutant avec un accès complet à l'API du navigateur. Il peut également injecter du contenu malveillant dans n'importe quel site web, y compris les connexions HTTPS.
Clean Master envoie ensuite toutes ces données volées (chaque URL visitée, les référents HTTP indiquant les habitudes de navigation, les horodatages pour le profilage des activités, les identifiants UUID4 persistants et les empreintes digitales complètes du navigateur) aux serveurs contrôlés par ShadyPanda.
De plus, le logiciel malveillant contient des capacités anti-analyse et passe à un comportement bénin si un chercheur ouvre les outils de développement.
Les places de marché qui gèrent les extensions « ne surveillent pas ce qui se passe après l'approbation »
Cinq autres extensions du même éditeur ont été lancées sur Edge vers 2023 et comptent désormais plus de quatre millions d'installations combinées. Lorsque Koi a rédigé son billet lundi, les cinq étaient toujours disponibles sur la boutique Edge, et deux d'entre elles installaient des logiciels espions sur les machines des utilisateurs.
L'une d'entre elles, WeTab, compte trois millions d'installations. Il s'agit d'une plateforme de surveillance déguisée en outil de productivité qui récupère toutes sortes de données utilisateur : chaque URL visitée, les requêtes de recherche, le suivi des clics de souris, les empreintes digitales du navigateur, les données d'interaction avec les pages et l'accès au stockage. Elle envoie ensuite toutes ces informations en temps réel à 17 domaines différents (8 serveurs Baidu en Chine, 7 serveurs WeTab en Chine et Google Analytics).
« L'extension dispose déjà d'autorisations dangereuses, notamment l'accès à toutes les URL et tous les cookies, et les utilisateurs sont en train de la télécharger en ce moment même », ont écrit les chercheurs. « ShadyPanda peut pousser des mises à jour à tout moment, transformant 4 millions de navigateurs en armes avec le même cadre de porte dérobée RCE [de Clean Master] ou quelque chose d'encore pire. »
Koi a également retracé ShadyPanda jusqu'à deux campagnes antérieures, désormais inactives. L'une d'entre elles, qui s'est déroulée en 2023, comprenait 20 extensions Chrome Web Store et 125 extensions Microsoft Edge, toutes déguisées en fonds d'écran ou en applications de productivité.
Cette campagne fonctionnait en suivant et en monétisant silencieusement les données de navigation des utilisateurs. Lorsqu'un utilisateur cliquait sur eBay, Amazon ou Booking.com, les extensions injectaient des codes de suivi d'affiliation et des traceurs Google Analytics, qui étaient ensuite enregistrés et utilisés...[/de clean master]
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.