4,3 Millionen Chrome/Edge-Browser durch Erweiterungen infiziert Borns Tech- und Windows-Blog

Sicherheitsforscher von Koi haben eine Kampagne aufgedeckt, bei der Cyberkriminelle sieben Jahre lang Browsererweiterungen für Chrome und Edge mit Schadcode infizierten. Betroffen sein dürften 4,3 Millionen Nutzer dieser Erweiterungen für Chrome und Edge.

Der folgende Tweet stellt beispielsweise ein Thema dar, das von Sicherheitsforschern von Koi.ai am 1. Dezember 2025 im Artikel 4,3 Millionen infizierte Browser: Inside ShadyPanda’s 7-Year Malware Campaign entdeckt wurde.

Koi-Cybersicherheitsforscher haben eine seit langem erwartete Malware-Kampagne über Browsererweiterungen aufgedeckt. Koi-Forscher nennen den seit sieben Jahren aktiven Angreifer ShadyPanda.

Gewinnen Sie zunächst Vertrauen

ShadyPanda versuchte zunächst, das Vertrauen der Browser-Erweiterungsmärkte zu gewinnen. „Clean Master“ – Chrome-Cache-Cleaner – wurde im Chrome Extension Store an Google übermittelt. Für den Edge-Erweiterungsmarkt hätte es ähnlich wie bei Microsoft sein sollen.

Die von ShadyPanda eingereichten Google Chrome-Browsererweiterungen wurden den Nutzern von Google vorgestellt und bei der Einreichung offensichtlich überprüft. Dies verlieh Browsererweiterungen sofortige Glaubwürdigkeit und sorgte für eine Massenverbreitung.

Der Schauspieler verbrachte mehr als sieben Jahre damit, zu lernen, wie man Browser-Marketing missbraucht, um Vertrauen aufzubauen und Benutzer zu Browser-Erweiterungen zu locken. Dabei überprüfte der Betreiber des Browser-Marktplatzes den Code einer Erweiterung nur einmal bei der Übermittlung bzw. danach in regelmäßigen Abständen.

Laut Sicherheitsforschern nutzt die Kampagne systemische Schwachstellen in Erweiterungsmärkten aus, die Codes nur zum Zeitpunkt der Übermittlung prüfen, nicht jedoch nach der Genehmigung ihres Verhaltens.

Plötzlich wird Schadsoftware ausgeliefert

Als ShadyPanda sicher war, führten Browsererweiterungen heimlich Updates im Hintergrund durch, um die Malware zu verbreiten. Sie missbrauchten das Vertrauen der Benutzer und umgingen herkömmliche Sicherheitssysteme. Koi-Sicherheitsforscher entdeckten zwei aktive Operationen:

• RCE-Hintertür mit 300.000 Benutzern: Fünf Erweiterungen, darunter „Featured“ und „Verified“ Clean Master, wurden Mitte 2024 nach legitimer Nutzung als Vehikel zur Malware-Verbreitung eingesetzt. Diese Erweiterungen führten nun stündlich Remote-Code aus, indem sie beliebiges JavaScript herunterluden und ausführten. Da Erweiterungen vollen Zugriff auf den Browser haben, können sie jeden Website-Besuch überwachen, den verschlüsselten Browserverlauf herausfiltern und Browser-Fingerabdrücke sammeln.
• Spionageeinsatz mit 4 Millionen Nutzern: Fünf weitere Erweiterungen desselben Herausgebers, darunter WeTab mit allein 3 Millionen Installationen, sammeln aktiv jede besuchte URL, Suchanfrage und jeden Mausklick und übermitteln Daten an Server in China.

Obwohl Google die ShadyPanda-Erweiterungen entfernt hat, sind laut Sicherheitsforschern viele Browsererweiterungen dieser Entwickler immer noch aktiv und in der Lage, komplexe Malware zu verbreiten. Dazu zählen auch Ransomware, Zugriffsdatendiebstahl-Infostealer oder Unternehmensspionage.

Erste Kampagne im Jahr 2023

Die erste Kampagne von ShadyPanda fand im Jahr 2023 statt und umfasste 145 Browser-Erweiterungen. 20 im Publisher-Bereich des Chrome Web Store nuggetsno15 Und nuggetsno125auch unter der Rakete Zhang des Microsoft Edge-Herausgebers. Alle Erweiterungen waren als Hintergrundbilder oder Produktivitäts-Apps getarnt.

Der Angriff war ein einfacher Affiliate-Betrug, nicht besonders ausgefeilt, aber erfolgreich. Immer wenn ein Benutzer auf eBay, Amazon oder Booking.com klickte, fügte die Erweiterung von ShadyPanda stillschweigend Affiliate-Tracking-Codes ein und kassierte stillschweigend Provisionen für jeden Kauf. Die Erweiterungen nutzten auch das Google Analytics-Tracking, um Browserdaten zu monetarisieren: Jeder Website-Besuch, jede Suchanfrage und jedes Klickmuster wurde aufgezeichnet und verkauft.

Zweite Kampagne im Jahr 2024

Im Jahr 2024 wurde ShadyPanda mutiger und fügte seinen Erweiterungen aktive Browser-Steuerelemente hinzu. Ein Beispiel ist die Infinity V+-Erweiterung, die als neues Tab-Produktivitätstool getarnt ist und die Kernfunktionen des Browsers kapert:

• Suchumleitung: Jede Websuche wurde zum beliebten Browser-Hijacker trovi.com umgeleitet. Suchanfragen wurden protokolliert, monetarisiert und verkauft. Die Suchergebnisse wurden aus Profitgründen manipuliert.
• Cookie-Infiltration: Erweiterungen lesen Cookies von bestimmten Domänen und senden Tracking-Daten nossl.dergoodting.com. Es werden eindeutige Kennungen erstellt, um die Surfaktivitäten zu überwachen. All dies ohne Erlaubnis oder Offenlegung.
• Suchanfragenerfassung: Jeder Tastendruck im Suchfeld wird an externe Server gesendet (s-85283.gotocdn[dot]com und s-82923.gotocdn[dot]com) senden Dies ermöglicht eine Echtzeit-Profilierung der Benutzerinteressen.

ShadyPanda lernte, wurde aggressiver und fing ihn. Browsererweiterungen wurden innerhalb von Wochen oder Monaten nach der Bereitstellung entfernt.

Langfristige Strategie

Das Team entwickelte fünf Browser-Erweiterungen, von denen drei in den Jahren 2018–2019 hochgeladen wurden. Dazu gehört auch die Clean Master-Erweiterung mit über 200.000 Installationen. Alle Browsererweiterungen funktionieren seit Jahren legal und haben den Status „Empfohlen“ und „Verifiziert“ erhalten. Die Strategie bestand darin, Vertrauen aufzubauen und Benutzer anzulocken.

Nach mehr als 300.000 Installationen von Erweiterungen veröffentlichte ShadyPanda im Jahr 2024 ein Update, das Schadcode enthielt. Automatische Infektion über den vertrauenswürdigen automatischen Update-Mechanismus von Chrome und Edge aktiviert. Alle fünf Erweiterungen enthalten jetzt dieselbe Malware.

Der letzte Schlag der Kampagne

Derselbe Herausgeber von Clean Master in Edge – Starlab Technology – veröffentlichte um das Jahr 2023 fünf zusätzliche Erweiterungen für Microsoft Edge mit insgesamt mehr als 4 Millionen Installationen.

Koi schreibt, dass alle diese Erweiterungen ab dem 1. Dezember 2025 noch im Microsoft Edge-Marktplatz verfügbar sind. Im Gegensatz zu den entfernten Phase-3-Erweiterungen ist dieser Überwachungsvorgang bei 4 Millionen Benutzern aktiv.

Bei zwei der fünf Erweiterungen handelt es sich um umfassende Spyware. Das Flaggschiff, WeTab 新设计页 (WeTab-Neuer-Tab-Seite), hat allein 3 Millionen Installationen und fungiert als hochentwickelte Überwachungsplattform, die als Produktivitätstool getarnt ist. WeTab richtet sich vermutlich an chinesische Nutzer. Die Erweiterung sammelt und übermittelt umfangreiche Nutzerdaten an 17 verschiedene Domains (8 Baidu-Server in China, 7 WeTab-Server in China und Google Analytics).

Fazit: Seit sieben Jahren derselbe Ansatz

ShadyPanda beansprucht nicht nur technische Raffinesse, sondern konzentriert sich auch darauf, die gleiche Schwachstelle sieben Jahre lang systematisch auszunutzen. Tatsächlich überprüfen Erweiterungsmarktplätze Erweiterungen nur dann, wenn sie eingereicht werden. Märkte haben keinen Einfluss darauf, was passiert, nachdem ein Update akzeptiert und veröffentlicht wurde.

Der automatische Update-Mechanismus von Browser-Erweiterungen, der die Sicherheit der Benutzer gewährleisten sollte, wurde zum Angriffsvektor. Sicherheitsforscher schrieben, dass der vertrauenswürdige Update-Pfad von Chrome und Edge die Malware unbeabsichtigt an Benutzer weitergegeben habe. Zur Verbreitung der Malware ist kein Phishing oder Social Engineering erforderlich, sondern lediglich die Kompromittierung zuvor vertrauenswürdiger Erweiterungen.

Laut Sicherheitsforschern ist ShadyPanda „seit über einem Jahr in Ihrem Netzwerk“ und überwacht, was als nächstes passiert: Session-Hijacking, Credential-Harvesting, Kontoübernahme, Supply-Chain-Angriffe auf kompromittierte Entwickler. Für Unternehmen bedeuten infizierte Entwickler-Workstations kompromittierte Repositorys und gestohlene API-Schlüssel. Durch die browserbasierte Authentifizierung über SaaS-Plattformen, Cloud-Konsolen und interne Tools hinweg sind alle Anmeldungen für ShadyPanda sichtbar. Infizierte Browsererweiterungen umgehen normale Sicherheitsprüfungen.

Aus dieser Sicht bin ich froh, dass mein Ungoogled Chromium-Browser die Installation von Erweiterungen nicht unterstützt und ich nicht einmal in Versuchung geraten bin, so etwas auszuprobieren.