Die „ShadyPanda“-Kampagne ist ein mehrjähriger Spionage- und Malware-Angriff über Browser-Erweiterungen für Chrome und Edge, der laut aktuellen Analysen rund 4,3 Millionen Installationen erreicht hat. Dabei wurden zunächst scheinbar harmlose Add-ons später per Update in Spyware mit teils Remote-Code-Execution-Funktion (RCE) verwandelt.

Was passiert ist

Sicherheitsforscher haben eine Gruppe namens „ShadyPanda“ identifiziert, die seit mehreren Jahren schrittweise bösartige Erweiterungen in den offiziellen Stores von Chrome und Edge platziert hat. Die Extensions traten anfangs als legitime Tools auf (z.B. Wallpapers, New-Tab- oder Produktivitäts-Add-ons) und sammelten Vertrauen über Installationszahlen und Bewertungen.

Später wurden über Updates Funktionen nachgerüstet, die Nutzer ausspionieren, Affiliate-Betrug betreiben oder den Browser komplett kompromittieren. Insgesamt wurden zahlreiche Erweiterungen verschiedener Kampagnen einem ShadyPanda-Akteur zugeschrieben.

Betroffene Add-ons und Umfang

Berichte sprechen von etwa 4,3 Millionen Installationen über verschiedene Kampagnen hinweg, verteilt auf Chrome- und Edge-Erweiterungen. In einer Phase wurden ältere Erweiterungen per Update mit einer Backdoor versehen, die RCE über den Browser ermöglichte und Hunderttausende Nutzer betraf.

Parallel dazu blieben mehrere Edge-Extensions mit zusammen rund 4 Millionen Installationen aktiv, die massiv Nutzerdaten sammelten, darunter Browserverlauf, Suchanfragen sowie Maus- und Tastatureingaben. Frühere Kampagnen setzten zudem stark auf Tracking und Affiliate-Betrug.

Welche Daten ausgespäht wurden

Je nach Phase und Extension konnten die Add-ons unter anderem:

• Alle besuchten URLs und Suchbegriffe protokollieren.
• Cookies und Sitzungstokens stehlen, um Logins zu übernehmen.
• Vollständige Browser-Fingerprints, Scroll- und Klickverhalten sowie Tastenanschläge in Eingabefeldern sammeln.

Mit der RCE-Backdoor waren zudem beliebige JavaScript-Downloads und -Ausführung im Kontext des Browsers möglich, was Man-in-the-Middle-Angriffe, Credential-Diebstahl und Session-Hijacking begünstigt.

Status bei Google und Microsoft

Google hat die als bösartig identifizierten Erweiterungen aus dem Chrome Web Store entfernt, nachdem die Aktivitäten öffentlich geworden sind. Microsoft hat ebenfalls betroffene Add-ons aus dem Edge Store entfernt, wobei einzelne problematische Erweiterungen teils noch eine Zeit lang gelistet waren.

Experten kritisieren generell, dass Browser-Marktplätze Extensions nach der Erstprüfung kaum noch laufend überwachen, was Angreifern ermöglicht, zunächst harmlose Versionen zu veröffentlichen und erst später schädliche Updates auszurollen.

Was du jetzt tun solltest

Für dich als Fotograf und Power-User von Chrome/Edge lohnt sich ein gezielter Check der eigenen Erweiterungen:

• Alle installierten Extensions durchgehen und Add-ons deinstallieren, die von unbekannten Publishern stammen, übermäßig viele Berechtigungen verlangen oder die du nicht (mehr) aktiv nutzt.
• Passwörter im Zweifel komplett erneuern, idealerweise mit Passwortmanager und aktivierter 2-Faktor-Authentifizierung für wichtige Accounts.
• Browser-Profile prüfen (auch Edge-Profile auf verschiedenen Rechnern) und bei Verdacht ein frisches Profil ohne Altlasten anlegen.

Hier findest du weiterführende Informationen: The Hacker News