继 ShadyPanda 后门事件之后，MetaDefender Endpoint 如何Endpoint 阻止浏览器扩展程序漏洞利用

对大多数用户而言，浏览器扩展程序往往看似无害，因此他们在安装时通常不会对安全性产生任何疑虑。对于那些由浏览器本身（例如谷歌Chrome）推荐和验证的扩展程序，这种情况尤为明显。一旦安装，此类扩展程序可能会获得读取用户几乎所有浏览内容的权限，包括电子邮件、会话数据、密码、键盘输入以及内部工具，而这些正是攻击者通常试图利用的目标。

当名为“ShadyPanda”的威胁行为者将后门植入安装在400多万台设备上的热门浏览器扩展程序时，这再次证明了攻击者多么容易藏身于浏览器扩展程序这一常被忽视的攻击途径之中。

ShadyPanda 攻击绝非孤例。在过去几年中，已曝出多起针对浏览器扩展程序的重大漏洞利用事件：

• 2025年，研究人员发现了一起涉及18个恶意扩展程序的攻击活动，这些扩展程序在Chrome和Edge浏览器中追踪用户行为。
• 2023年，一款下载量超过200万次的Chrome扩展程序PDF Toolbox，能够向用户访问的每一页注入任意代码。
• 2019年，DataSpii数据泄露事件（涉及Hover Zoom和SpeakIt等扩展程序）导致用户的个人信息被收集并泄露，其中包括浏览活动及其他可识别身份的数据。
• 2017年，一款名为“Archive Poster”的Chrome扩展程序，其源代码中包含加密货币挖矿代码。
• 2017年，拥有超过100万用户的热门工具“Chrome网页开发者工具”遭到入侵，被用于植入广告并实施网络钓鱼攻击。

由于以下几个原因，浏览器扩展程序仍然是常见的攻击途径：

1. 自动更新：扩展程序可在无需用户干预的情况下自动更新。如果开发者账户遭到入侵，或更新中混入了恶意代码，数百万用户将立即面临风险。
2. 权限高，监管松：扩展程序通常需要广泛的权限，包括读取和修改网站内容、访问浏览活动，或与文件进行交互。
3. 缺乏监控：许多组织并未监控员工安装了哪些扩展程序、这些扩展程序请求了哪些权限，以及更新是否带来了新的威胁。
4. 用户的信任极易被利用：用户往往认为，只要扩展程序来自浏览器商店，尤其是经过验证或被推荐的，就一定安全。
5. 过分依赖评分而非安全性：许多用户仅凭扩展程序的热门程度或评论就进行安装，在未充分了解风险的情况下便授予权限。

浏览器扩展已成为最常见且最易被利用的攻击途径之一。攻击者无需借助伪装的恶意软件或复杂的技术手段即可渗透到用户的设备中。用户只需点击一次“添加到 Chrome”，就足以让攻击者直接进入浏览器及其所能访问的所有内容，从而在无人察觉的情况下轻松入侵数百万台设备。

一旦安装了恶意浏览器扩展程序，它可能会：

• 捕获浏览数据、凭据、Cookie 和会话令牌
• 记录按键操作，泄露密码、消息和机密输入内容
• 阅读并窃取公司文件、敏感数据及个人身份信息
• 将间谍软件或恶意脚本植入用户访问的任何网站
• 开辟通往云服务和敏感应用程序的新攻击途径
• 在后台下载其他恶意软件，且未经用户同意
• 接管账户
• 将流量重定向至恶意网站，这些网站会自动下载恶意软件或利用社会工程学手段
• 加载后门

组织不能指望用户或浏览器应用商店来阻止这些威胁。他们需要在终端端实施自动且强制性的检查。