Quand 4,3 millions d’utilisateurs se font piéger : des extensions « légitimes » Chrome et Edge ont attendu des années
avant d’activer backdoors et spyware dans un silence total

L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.

Contexte

Une campagne malveillante menée pendant sept ans à l'aide d'extensions de navigateur a infecté 4,3 millions d'utilisateurs de Google Chrome et Microsoft Edge avec des logiciels malveillants, notamment des portes dérobées et des logiciels espions qui envoyaient les données des utilisateurs vers des serveurs situés en Chine. Et, selon les chercheurs de Koi, cinq des extensions ayant été installées plus de 4 millions de fois sont toujours disponibles sur la boutique Edge.

Les pirates, que Koi a baptisés ShadyPanda, ont joué la carte de la patience : ils ont publié des extensions légitimes, accumulant des milliers, voire des millions de téléchargements sur plusieurs années, puis ont diffusé une mise à jour contenant des logiciels malveillants qui s'installait automatiquement sur tous les appareils des utilisateurs.

Comme les deux marketplaces examinent les extensions lors de leur soumission (il ne s'agit pas d'un processus continu), ces outils de productivité apparemment exceptionnels, dont certains bénéficiaient du statut « Featured » (Recommandé) et « Verified » (Vérifié) ainsi que d'avis élogieux de la part des utilisateurs et d'un nombre élevé d'installations, ont pu suivre le comportement des utilisateurs et voler des informations sensibles en toute discrétion pendant des années.

« Pas de phishing. Pas d'ingénierie sociale. Juste des extensions fiables avec des mises à jour discrètes qui ont transformé des outils de productivité en plateformes de surveillance », a déclaré l'équipe de recherche des menaces dans un blog publié lundi.

La menace invisible : quand le temps joue pour les attaquants

Les extensions incriminées ne sont pas apparues comme des malwares classiques. Elles ont d’abord offert un réel service, parfois très utile, souvent très simple : convertisseurs de fichiers, comparateurs de prix, outils PDF, widgets météo. Rien qui ne puisse déclencher la méfiance d’un utilisateur, et encore moins celle d’une équipe IT habituée aux add-ons répandus dans les environnements de travail.

Ce qui rend l’opération unique est la temporalité. Les extensions ont attendu. Plusieurs mois, parfois plusieurs années. Cette patience leur a permis de bâtir une réputation légitime, d’obtenir de bonnes évaluations, d’être recommandées sur des forums, voire parfois intégrées aux environnements professionnels sans alerte. Un scénario parfait pour une attaque différée et massive.

Citation Envoyé par Koi
Les chercheurs de Koi ont identifié un acteur malveillant que nous avons baptisé ShadyPanda, responsable d'une campagne de sept ans visant les extensions de navigateur qui a infecté 4,3 millions d'utilisateurs de Chrome et Edge.

Notre enquête a mis au jour deux opérations actives :

Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.

Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.

Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.
Nom : clean.png Affichages : 33213 Taille : 104,9 Ko

L’activation du code malveillant : un interrupteur après des années de sommeil

Les chercheurs expliquent que le déclenchement du code malveillant s’est fait via des mises à jour entièrement conformes au mécanisme de distribution officiel du Chrome Web Store et de l’Edge Add-ons Store. Aucune vulnérabilité n’a été exploitée : les attaquants ont tout simplement profité de la confiance accordée par les utilisateurs.

Derrière ces mises à jour, les extensions se sont transformées en plateformes d’espionnage. Elles ajoutaient progressivement des fonctions de backdoor, siphonnaient des données de navigation et exécutaient du code venant de serveurs command-and-control soigneusement masqués. Certaines extensions allaient jusqu’à manipuler les requêtes web, injecter des publicités invisibles ou détourner des sessions authentifiées.

Des campagnes qui étaient toujours actives quand Koi a rédigé son billet

Koi a suivi l'activité de ShadyPanda en plusieurs phases et affirme que deux campagnes sont toujours actives.

L'une de ces campagnes comprenait cinq extensions qui ont infecté 300 000 utilisateurs avec une porte dérobée permettant l'exécution de code à distance. Trois des cinq extensions ont été téléchargées entre 2018 et 2019 et ont obtenu le statut « Featured » (Recommandé) et « Verified » (Vérifié). L'une de ces extensions, appelée Clean Master et publiée par Starlab Technology, compte plus de 200 000 installations.

Au milieu de l'année 2024, après avoir été téléchargée plus de 300 000 fois, ShadyPanda a diffusé une mise à jour malveillante contenant une porte dérobée sur les cinq extensions fonctionnant sur Chrome et Edge. Bien que les extensions aient depuis été retirées des deux boutiques en ligne, « l'infrastructure nécessaire à des attaques à grande échelle reste déployée sur tous les navigateurs infectés », ont écrit les chercheurs.

Le logiciel malveillant permet une surveillance complète du navigateur, vérifiant toutes les heures si de nouvelles instructions sont disponibles sur api.extensionplay[.]com, téléchargeant des scripts JavaScript arbitraires et les exécutant avec un accès complet à l'API du navigateur. Il peut également injecter du contenu malveillant dans n'importe quel site web, y compris les connexions HTTPS.

Clean Master envoie ensuite toutes ces données volées (chaque URL visitée, les référents HTTP indiquant les habitudes de navigation, les horodatages pour le profilage des activités, les identifiants UUID4 persistants et les empreintes digitales complètes du navigateur) aux serveurs contrôlés par ShadyPanda.

De plus, le logiciel malveillant contient des capacités anti-analyse et passe à un comportement bénin si un chercheur ouvre les outils de développement.

Les places de marché qui gèrent les extensions « ne surveillent pas ce qui se passe après l'approbation »

Cinq autres extensions du même éditeur ont été lancées sur Edge vers 2023 et comptent désormais plus de quatre millions d'installations combinées. Lorsque Koi a rédigé son billet lundi, les cinq étaient toujours disponibles sur la boutique Edge, et deux d'entre elles installaient des logiciels espions sur les machines des utilisateurs.

L'une d'entre elles, WeTab, compte trois millions d'installations. Il s'agit d'une plateforme de surveillance déguisée en outil de productivité qui récupère toutes sortes de données utilisateur : chaque URL visitée, les requêtes de recherche, le suivi des clics de souris, les empreintes digitales du navigateur, les données d'interaction avec les pages et l'accès au stockage. Elle envoie ensuite toutes ces informations en temps réel à 17 domaines différents (8 serveurs Baidu en Chine, 7 serveurs WeTab en Chine et Google Analytics).

« L'extension dispose déjà d'autorisations dangereuses, notamment l'accès à toutes les URL et tous les cookies, et les utilisateurs sont en train de la télécharger en ce moment même », ont écrit les chercheurs. « ShadyPanda peut pousser des mises à jour à tout moment, transformant 4 millions de navigateurs en armes avec le même cadre de porte dérobée RCE [de Clean Master] ou quelque chose d'encore pire. »

Koi a également retracé ShadyPanda jusqu'à deux campagnes antérieures, désormais inactives. L'une d'entre elles, qui s'est déroulée en 2023, comprenait 20 extensions Chrome Web Store et 125 extensions Microsoft Edge, toutes déguisées en fonds d'écran ou en applications de productivité.

Cette campagne fonctionnait en suivant et en monétisant silencieusement les données de navigation des utilisateurs. Lorsqu'un utilisateur cliquait sur eBay, Amazon ou Booking.com, les extensions injectaient des codes de suivi d'affiliation et des traceurs Google Analytics, qui étaient ensuite enregistrés et utilisés pour vendre les visites et les requêtes de recherche des utilisateurs.

Une deuxième campagne inactive datant du début de l'année 2023 était également déguisée en un nouvel outil de productivité appelé Infinity V+. Elle redirigeait toutes les recherches des utilisateurs vers le site web trovi.com, qui détournait le navigateur, exfiltrait les cookies et enregistrait les frappes des utilisateurs dans le champ de recherche, avant d'envoyer toutes ces informations à des serveurs externes.

Selon les chercheurs, toutes ces campagnes ShadyPanda illustrent un problème dans la manière dont les places de marché gèrent les extensions. « Elles ne surveillent pas ce qui se passe après l'approbation », ont-ils écrit.

Google et Microsoft face au casse-tête des stores d’extensions

Cette affaire relance un débat que les deux entreprises auraient préféré éviter : l’extrême difficulté à sécuriser un écosystème reposant sur des extensions publiées par des milliers de développeurs.

Un porte-parole de Google a confirmé qu'aucune de ces extensions n'était disponible sur le Chrome Web Store, et assure que Google examine chaque mise à jour des extensions du Chrome Store, même les plus mineures.

Un porte-parole de Microsoft a déclaré : « Nous avons supprimé toutes les extensions identifiées comme malveillantes sur le Edge Add-on Store. Lorsque nous constatons des violations de nos politiques, nous prenons les mesures appropriées, qui comprennent, sans s'y limiter, la suppression du contenu interdit ou la résiliation de notre contrat de publication. »

Pourtant, la question reste entière : comment empêcher qu’un développeur parfaitement légitime ne « bascule » son extension vers un comportement malveillant deux ans après sa publication ?

La réalité est que ni Google ni Microsoft ne disposent d’un mécanisme fiable permettant d’auditer en continu les mises à jour publiées par les éditeurs. Tant que l’extension respecte l’API, signe son code et déclare des permissions compatibles avec sa fonction apparente, elle passera les contrôles.

Une attaque qui marque une montée en complexité dans le malware moderne

Ce cas illustre une transformation profonde du paradigme malware. Là où les attaquants utilisaient autrefois des campagnes bruyantes, courtes et massives, ils privilégient désormais la durée, l’intégration à l’écosystème, la dissimulation et la patience.

Les extensions malveillantes ne cherchent plus seulement à infecter un utilisateur : elles veulent s’implanter comme une présence familière. Le fait qu’elles aient attendu des années avant d’activer leur charge utile montre une maturité opérationnelle proche des campagnes APT.

Pour les entreprises, cette sophistication est un signal d’alarme. Une politique de sécurité ne peut plus se limiter à des antivirus et à des filtres web. Elle doit inclure un contrôle strict des extensions navigateur, une revue régulière des permissions et, lorsqu’il s’agit d’environnements sensibles, une politique de whitelisting drastique.

Source : Koi

Voir aussi :

Comment une extension peut-elle rester dormante plusieurs années sans déclencher la moindre alerte ?

Dans quelle mesure les entreprises sont-elles aujourd’hui capables de contrôler l’usage des extensions navigateur par leurs employés ?

Vient ensuite le sujet sensible du Zero Trust. Le modèle s’applique-t-il encore lorsque le navigateur concentre la majorité des accès SaaS, mais que son écosystème d’extensions reste totalement poreux ?

Pourquoi les entreprises continuent-elles à considérer les extensions comme de simples outils front-end, alors que certaines ont désormais plus de permissions et plus de visibilité qu’un agent EDR classique ?

Jusqu’où Google et Microsoft doivent-ils aller pour empêcher un éditeur légitime de basculer son extension vers un comportement malveillant des années après sa publication ?