Kampanye malware jangka panjang bernama “ShadyPanda” berhasil mengumpulkan lebih dari 4,3 juta instalasi ekstensi Chrome dan Edge yang awalnya tampak sah, sebelum kemudian berevolusi menjadi perangkat mata-mata (spyware) yang berbahaya. Operasi ini diungkap oleh Koi Security dan menunjukkan bagaimana pelaku dapat memanfaatkan reputasi ekstensi populer, lalu secara bertahap menyuntikkan fungsi jahat melalui pembaruan jarak jauh.
Evolusi Kampanye ShadyPanda dari 2018
Menurut analisis Koi Security, pengunggahan pertama ekstensi yang terkait ShadyPanda sudah terjadi sejak 2018, tetapi aktivitas berbahaya baru terdeteksi jelas pada 2023, ketika sejumlah ekstensi bertopeng sebagai alat wallpaper dan produktivitas mulai melakukan kecurangan afiliasi. Ekstensi-ekstensi ini menyuntikkan kode pelacakan dari layanan seperti eBay, Booking.com, dan Amazon ke dalam tautan sah untuk mencuri komisi dari transaksi pengguna.
Pada awal 2024, sebuah ekstensi bernama Infinity V+ mulai melakukan pembajakan pencarian (search hijacking), yang menandai peningkatan agresivitas operasi ini. Ekstensi tersebut mengalihkan kueri pencarian ke trovi[.]com, mengekstraksi cookie pengguna ke dergoodting[.]com, serta mengirim kueri pencarian ke subdomain gotocdn untuk diproses lebih lanjut.
Dari Ekstensi Populer Menjadi Backdoor RCE
Memasuki 2024, lima ekstensi dalam set yang sama—termasuk tiga yang diunggah pada 2018 dan 2019 dan sudah terlanjur mengantongi reputasi baik—dimodifikasi melalui pembaruan untuk menyertakan “backdoor” dengan kemampuan eksekusi kode jarak jauh (remote code execution/RCE). Setiap browser yang terinfeksi menjalankan kerangka kerja RCE yang tiap jam memeriksa api.extensionplay[.]com untuk instruksi baru, mengunduh JavaScript apa pun, lalu mengeksekusinya dengan akses penuh ke API browser.
Koi Security menekankan bahwa ini bukan lagi malware dengan fungsi tetap, melainkan backdoor serbaguna yang dapat diubah perilakunya kapan saja oleh operator. Selain itu, backdoor juga mengekstraksi URL yang dikunjungi, data fingerprinting, serta pengenal persisten untuk dikirim menggunakan enkripsi AES ke api[.]cleanmasters[.]store, sehingga pelaku mendapat visibilitas luas atas aktivitas pengguna.
Peran Ekstensi Clean Master dan Skala Infeksi
Salah satu ekstensi menonjol dalam rangkaian ini adalah Clean Master di Chrome Web Store, yang ketika teridentifikasi berbahaya sudah mencatat sekitar 200.000 instalasi. Jika digabung dengan ekstensi lain yang membawa payload sama, totalnya mencapai kurang lebih 300.000 instalasi di ekosistem Chrome.
Secara keseluruhan, kampanye ShadyPanda mencakup 145 ekstensi berbahaya—20 di Chrome dan 125 di Edge—yang didistribusikan selama beberapa tahun. Google kini telah menghapus ekstensi-ekstensi tersebut dari Chrome Web Store, namun laporan Koi menyebut sebagian kampanye masih aktif di Microsoft Edge Add-ons, dengan satu ekstensi yang tercatat memiliki hingga 3 juta instalasi. Perlu dicatat, hingga kini belum jelas apakah angka instalasi tersebut dimanipulasi untuk menambah kesan legitimasi.
Fase Terakhir: Spyware pada Ekstensi Edge
Fase keempat sekaligus terakhir dari operasi ShadyPanda—dan yang masih berlangsung—berkaitan dengan lima ekstensi Microsoft Edge yang dipublikasikan oleh pengembang bernama “Starlab Technology” sejak 2023. Dalam periode tersebut, ekstensi-ekstensi ini telah mengumpulkan sekitar 4 juta instalasi, sebagian besar dari pengguna Edge.
Peneliti menemukan bahwa komponen spyware di ekstensi Edge tersebut mengumpulkan beragam data sensitif dan mengirimkannya ke 17 domain di Tiongkok. Data yang diambil mencakup riwayat penelusuran, kueri pencarian dan penekanan tombol (keystrokes), klik mouse beserta koordinatnya, fingerprint perangkat, hingga isi local/session storage dan cookie browser.
Potensi Backdoor Lanjutan dan Respons Vendor
Koi Security mencatat bahwa ekstensi-ekstensi Edge tersebut secara teknis memiliki izin yang cukup untuk menerima pembaruan dan diubah menjadi backdoor dengan kemampuan serupa Clean Master, meski sampai saat ini belum ditemukan indikasi aktivitas RCE pada fase terbaru itu. Kendati demikian, ruang risiko tetap terbuka lebar karena operator dapat mengubah fungsi ekstensi lewat update sewaktu-waktu.
Peneliti Koi telah menghubungi Google dan Microsoft untuk melaporkan temuan ini. Setelah laporan tersebut, ekstensi terkait di Chrome Web Store memang sudah dihapus, tetapi pada saat artikel ditulis, BleepingComputer masih menemukan dua ekstensi—“WeTab 新标签页” (sekitar 3 juta pengguna) dan “Infinity New Tab (Pro)” (sekitar 650 ribu pengguna)—masih tersedia di Microsoft Edge Add-ons dengan penerbit yang sama.
Dampak bagi Pengguna dan Langkah Mitigasi
Dengan jutaan instalasi di dua peramban populer, ShadyPanda menunjukkan seberapa jauh pelaku dapat menyusup ke ekosistem resmi dan memanfaatkan model distribusi ekstensi untuk menjangkau korban dalam skala besar. Pengguna yang memasang ekstensi ini berisiko tinggi mengalami penyadapan aktivitas online, pencurian kredensial, hingga potensi kompromi akun keuangan dan layanan penting lain.
Koi Security menyarankan agar pengguna segera mencopot semua ekstensi yang terkait daftar ShadyPanda dan melakukan penggantian kata sandi di seluruh layanan online yang pernah diakses dari browser terinfeksi. BleepingComputer juga melaporkan bahwa mereka telah menghubungi Google, Microsoft, serta pengembang ekstensi terkait, meski hingga saat ini belum ada tanggapan resmi yang dipublikasikan dari pihak-pihak tersebut.