过去很长时间以来，我们都习惯了把注意力放在手机 App 权限、AI 隐私、大公司数据泄露等安全事件上，却常常忘了：每天打开浏览器时，那些静静躺在角落里的扩展，也可能是最危险的入口。

就在2025年12月1日，全球知名的网络安全媒体 BleepingComputer 发布了一篇文章《ShadyPanda 浏览器扩展程序在恶意活动中累计安装量达 430 万次》，根据 KOI 《4.3 Million Browsers Infected: Inside ShadyPanda’s 7-Year Malware Campaign》的研究，揭露了一批恶意浏览器扩展，长达8年时间，累计安装有 430 万次。它们从外表上看毫无异常：评分高、装的人多、评论也不差。

这些恶意扩展一直在悄悄做一件事：收集用户行为、操控浏览器、注入广告、劫持访问路径，甚至疑似与黑产存在关联。

ShadyPanda 的恶意扩展

根据 BleepingComputer 的报告，这个名为 ShadyPanda 组织，多年来共运营了 145 个恶意扩展（20 个 Chrome 扩展和 125 个 Edge 扩展）。

这些扩展并不会在开始的时候就出现问题，而是在长期更新的过程中，通过逐渐索要权限、暗中注入代码的方式，逐步转变成恶意工具。

恶意扩展都做了什么？

这些扩展会在用户毫无察觉的情况下执行一系列操作，包括：

• 悄悄收集浏览行为、搜索记录等敏感数据
• 重定向访问链接，在网页中插入推广参数
• 劫持部分网站访问路径，影响用户看到的内容
• 远程加载脚本，使扩展功能可以被攻击者随时控制

具体来说，这些扩展程序将 eBay、Booking.com 和亚马逊的跟踪代码注入合法链接，从事联盟营销欺诈，从用户的购买行为中获得收入。

2024 年初，一款名为 Infinity V+ 的扩展程序开始执行搜索劫持，它们将搜索查询重定向到 trovi[.]com，将用户的 cookie 泄露到 dergoodting[.]com，并将用户的搜索查询泄露到 gotocdn 子域。

2024 年，该系列中的五个扩展程序被修改，加入了通过更新提供的“后门”，使它们能够执行远程代码。

每个受感染的浏览器都会运行一个远程代码执行框架。它每小时都会检查 api.extensionplay[.]com 是否有新的指令，下载任意的 JavaScript 代码，并以完整的浏览器 API 访问权限执行它。

该后门还会使用 AES 加密将浏览 URL、指纹信息和持久标识符泄露到 api[.]cleanmasters[.]store。

在应用商店中，包含“精选”和“已验证”标识的 Clean Master 在内的五个扩展程序，在合法运行多年后，于 2024 年年中被恶意利用。这些扩展程序现在每小时执行一次远程代码——下载并执行任意 JavaScript 代码，并拥有完整的浏览器访问权限。

攻击还在进行中

目前攻击仍在进行中，该阶段涉及 “Starlab Technology” 于 2023 年发布的五款 Microsoft Edge 扩展程序。自那时以来，这些扩展程序已累计安装了 400 万次。

研究人员表示，这些扩展程序中的间谍软件组件会收集以下数据，并将其发送到中国的 17 个域名（sending it to 17 domains in China）：

• Browsing history  浏览历史记录
• 搜索查询和按键操作
• 带有坐标的鼠标点击
• Fingerprint data  指纹数据
• 本地/会话存储和 Cookie

为什么能存在8年之久？

主要原因是这些行为本身并不显眼，很难让用户察觉。

尤其当用户信任这款浏览器扩展的时候，浏览器还会自动更新这些扩展。于是一款原本没有问题的扩展，在某次更新之后，就变成了恶意扩展。

就这样，持续了8年之久。

现状如何？

研究人员联系了 Google 和 Microsoft，已经从商店下架了这些恶意扩展。

在 BleepingComputer 的原文中，还出现了从 Google Play 下架恶意应用的描述。这是因为 ShadyPanda 并非只针对浏览器扩展，它是一个跨平台的黑产组织，同时在 Chrome Web Store、Edge Add-ons 以及 Google Play 上投放恶意软件。

---

WeTab 新标签页 与 Infinity New Tab (Pro) 到底怎么样？

BleepingComputer 与 Koi 的指控

BleepingComputer 在结尾提到了这两款著名的扩展：

在 Koi 的报道中，明确指出：

ShadyPanda 最大的项目并非 Clean Master。Clean Master 背后的同一家 Edge 浏览器发行商——Starlab Technology——在 2023 年前后又在 Microsoft Edge 浏览器上推出了 5 款扩展程序，累计安装量超过 400 万次。

这五款软件中有两款是功能全面的间谍软件。其中旗舰产品 WeTab 新标签页（WeTab New Tab Page）的安装量就高达 300 万次，它伪装成一款生产力工具，实则是一个功能强大的监控平台。

收集的内容包括：

• 存储访问权限 – 可读取 localStorage、sessionStorage，并可访问所有 cookie
• 每次访问的网址——完整的浏览历史记录实时传输
• 所有搜索查询——对用户搜索内容的按键级别监控
• 像素级精度鼠标点击追踪——X/Y 坐标和元素识别
• 浏览器指纹识别——屏幕分辨率、语言、时区、用户代理
• 页面交互数据——页面停留时间、滚动行为、活跃浏览时间

WeTab 新标签页的回应

青小蛙总结如下：

Clean Master 的问题

1. Clean Master 最初由他们设计与开发。初始上线后不包含安全报告中提到的后门、远程代码执行或恶意监控行为。
2. Clean Master 的 Chrome 版本整体出售给了第三方，包括相关代码及上架账号的控制权。
3. Koi 报告中提到的 Clean Master Chrome 版本，为 2024 年之后推送的恶意更新，并非 WeTab 团队发布
4. WeTab 团队在 Edge 商店的 Clean Master 扩展，最后一次更新时间截止在 2020 年，并于2024主动下架，与新版本无关联。
5. WeTab 不再运营任何名为「Clean Master」的浏览器扩展。

WeTab / Infinity 的问题

1. 对 WeTab / Infinity 进行了多轮内部安全自查，未发现安全报告中所述的远程代码执行后门或恶意行为，也不存在在用户不知情情况下执行任意第三方脚本的情况。
2. 由于 Clean Master 与 WeTab、Infinity 曾使用同一开发者账号上架，当相关账号因 Clean Master 事件受到平台风控审查时，平台出于整体风险控制，会对同一账号下的多款扩展采取「统一处理」或「临时下架」措施。

（@青小蛙：目前 WeTab 与 Infinity 均在线，可以直接从 chrome 商店下载安装。）

关于报道中出现的 Infinity V+，WeTab 是这样说的：

说实话没看太懂，我的理解是 Infinity V+ 是个冒牌货，不是 WeTab 的产品。

其他就没什么了，有兴趣的可以前往阅读原文（WeTab 公众号文章）。

---

截至目前，还没有找到任何公开的第三方／安全机构／研究团队，对 WeTab 扩展进行过独立安全分析。

但同时，也没有第三方独立验证能够证明：KOI 提到的 WeTab 收集行为就是来自“官方 WeTab 版本”

所有有关恶意扩展 ID 完整列表

最后，Koi 还附上了所有与 ShadyPanda 行动相关的扩展 ID 的完整列表：

C&C Domains:

• extensionplay[.]com
• yearnnewtab[.]com
• api.cgatgpt[.]net

Exfiltrations Domains:

• dergoodting[.]com
• yearnnewtab[.]com
• cleanmasters[.]store
• s-85283.gotocdn[.]com
• s-82923.gotocdn[.]com

Chrome Extensions:

• eagiakjmjnblliacokhcalebgnhellfi
• ibiejjpajlfljcgjndbonclhcbdcamai
• ogjneoecnllmjcegcfpaamfpbiaaiekh
• jbnopeoocgbmnochaadfnhiiimfpbpmf
• cdgonefipacceedbkflolomdegncceid
• gipnpcencdgljnaecpekokmpgnhgpela
• bpgaffohfacaamplbbojgbiicfgedmoi
• ineempkjpmbdejmdgienaphomigjjiej
• nnnklgkfdfbdijeeglhjfleaoagiagig
• Mljmfnkjmcdmongjnnnbbnajjdbojoci
• llkncpcdceadgibhbedecmkencokjajg
• nmfbniajnpceakchicdhfofoejhgjefb
• ijcpbhmpbaafndchbjdjchogaogelnjl
• olaahjgjlhoehkpemnfognpgmkbedodk
• gnhgdhlkojnlgljamagoigaabdmfhfeg
• cihbmmokhmieaidfgamioabhhkggnehm
• lehjnmndiohfaphecnjhopgookigekdk
• hlcjkaoneihodfmonjnlnnfpdcopgfjk
• hmhifpbclhgklaaepgbabgcpfgidkoei
• lnlononncfdnhdfmgpkdfoibmfdehfoj
• nagbiboibhbjbclhcigklajjdefaiidc
• ofkopmlicnffaiiabnmnaajaimmenkjn
• ocffbdeldlbilgegmifiakciiicnoaeo
• eaokmbopbenbmgegkmoiogmpejlaikea
• lhiehjmkpbhhkfapacaiheolgejcifgd
• ondhgmkgppbdnogfiglikgpdkmkaiggk
• imdgpklnabbkghcbhmkbjbhcomnfdige
  

Edge Add-ons:

• bpelnogcookhocnaokfpoeinibimbeff
• enkihkfondbngohnmlefmobdgkpmejha
• hajlmbnnniemimmaehcefkamdadpjlfa
• aadnmeanpbokjjahcnikajejglihibpd
• ipnidmjhnoipibbinllilgeohohehabl
• fnnigcfbmghcefaboigkhfimeolhhbcp
• nlcebdoehkdiojeahkofcfnolkleembf
• fhababnomjcnhmobbemagohkldaeicad
• nokknhlkpdfppefncfkdebhgfpfilieo
• ljmcneongnlaecabgneiippeacdoimaa
• onifebiiejdjncjpjnojlebibonmnhog
• dbagndmcddecodlmnlcmhheicgkaglpk
• fmgfcpjmmapcjlknncjgmbolgaecngfo
• kgmlodoegkmpfkbepkfhgeldidodgohd
• hegpgapbnfiibpbkanjemgmdpmmlecbc
• gkanlgbbnncfafkhlchnadcopcgjkfli
• oghgaghnofhhoolfneepjneedejcpiic
• fcidgbgogbfdcgijkcfdjcagmhcelpbc
• nnceocbiolncfljcmajijmeakcdlffnh
• domfmjgbmkckapepjahpedlpdedmckbj
• cbkogccidanmoaicgphipbdofakomlak
• bmlifknbfonkgphkpmkeoahgbhbdhebh
• ghaggkcfafofhcfppignflhlocmcfimd
• hfeialplaojonefabmojhobdmghnjkmf
• boiciofdokedkpmopjnghpkgdakmcpmb
• ibfpbjfnpcgmiggfildbcngccoomddmj
• idjhfmgaddmdojcfmhcjnnbhnhbmhipd
• jhgfinhjcamijjoikplacnfknpchndgb
• cgjgmbppcoolfkbkjhoogdpkboohhgel
• afooldonhjnhddgnfahlepchipjennab
• fkbcbgffcclobgbombinljckbelhnpif
• fpokgjmlcemklhmilomcljolhnbaaajk
• hadkldcldaanpomhhllacdmglkoepaed
• iedkeilnpbkeecjpmkelnglnjpnacnlh
• hjfmkkelabjoojjmjljidocklbibphgl
• dhjmmcjnajkpnbnbpagglbbfpbacoffm
• cgehahdmoijenmnhinajnojmmlnipckl
• fjigdpmfeomndepihcinokhcphdojepm
• chmcepembfffejphepoongapnlchjgil
• googojfbnbhbbnpfpdnffnklipgifngn
• fodcokjckpkfpegbekkiallamhedahjd
• igiakpjhacibmaichhgbagdkjmjbnanl
• omkjakddaeljdfgekdjebbbiboljnalk
• llilhpmmhicmiaoancaafdgganakopfg
• nemkiffjklgaooligallbpmhdmmhepll
• papedehkgfhnagdiempdbhlgcnioofnd
• glfddenhiaacfmhoiebfeljnfkkkmbjb
• pkjfghocapckmendmgdmppjccbplccbg
• gbcjipmcpedgndgdnfofbhgnkmghoamm
• ncapkionddmdmfocnjfcfpnimepibggf
• klggeioacnkkpdcnapgcoicnblliidmf
• klgjbnheihgnmimajhohfcldhfpjnahe
• acogeoajdpgplfhidldckbjkkpgeebod
• ekndlocgcngbpebppapnpalpjfnkoffh
• elckfehnjdbghpoheamjffpdbbogjhie
• dmpceopfiajfdnoiebfankfoabfehdpn
• gpolcigkhldaighngmmmcjldkkiaonbg
• dfakjobhimnibdmkbgpkijoihplhcnil
• hbghbdhfibifdgnbpaogepnkekonkdgc
• fppchnhginnfabgenhihpncnphhafmac
• ghhddclfklljabeodmcejjjlhoaaiban
• bppelgkcnhfkicolffhlkbdghdnjdkhi
• ikgaleggljchgbihlaanjbkekmmgccam
• bdhjinjoglaijpffoamhhnhooeimgoap
• fjioinpkgmlcioajfnncgldldcnabffe
• opncjjhgbllenobgbfjbblhghmdpmpbj
• cbijiaccpnkbdpgbmiiipedpepbhioel
• fbbmnieefocnacnecccgmedmcbhlkcpm
• hmbacpfgehmmoloinfmkgkpjoagiogai
• paghkadkhiladedijgodgghaajppmpcg
• bafbmfpfepdlgnfkgfbobplkkaoakjcl
• kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
• jelgelidmodjpmohbapbghdgcpncahki
• lfgakdlafdenmaikccbojgcofkkhmolj
• hdfknlljfbdfjdjhfgoonpphpigjjjak
• kpfbijpdidioaomoecdbfaodhajbcjfl
• fckphkcbpgmappcgnfieaacjbknhkhin
• lhfdakoonenpbggbeephofdlflloghhi
• ljjngehkphcdnnapgciajcdbcpgmpknc
• ejfocpkjndmkbloiobcdhkkoeekcpkik
• ccdimkoieijdbgdlkfjjfncmihmlpanj
• agdlpnhabjfcbeiempefhpgikapcapjb
• mddfnhdadbofiifdebeiegecchpkbgdb
• alknmfpopohfpdpafdmobclioihdkhjh
• hlglicejgohbanllnmnjllajhmnhjjel
• iaccapfapbjahnhcmkgjjonlccbhdpjl
• ehmnkbambjnodfbjcebjffilahbfjdml
• ngbfciefgjgijkkmpalnmhikoojilkob
• laholcgeblfbgdhkbiidbpiofdcbpeeo
• njoedigapanaggiabjafnaklppphempm
• fomlombffdkflbliepgpgcnagolnegjn
• jpoofbjomdefajdjcimmaoildecebkjc
• nhdiopbebcklbkpfnhipecgfhdhdbfhb
• gdnhikbabcflemolpeaaknnieodgpiie
• bbdioggpbhhodagchciaeaggdponnhpa
• ikajognfijokhbgjdhgpemljgcjclpmn
• lmnjiioclbjphkggicmldippjojgmldk
• ffgihbmcfcihmpbegcfdkmafaplheknk
• lgnjdldkappogbkljaiedgogobcgemch
• hiodlpcelfelhpinhgngoopbmclcaghd
• mnophppbmlnlfobakddidbcgcjakipin
• jbajdpebknffiaenkdhopebkolgdlfaf
• ejdihbblcbdfobabjfebfjfopenohbjb
• ikkoanocgpdmmiamnkogipbpdpckcahn
• ileojfedpkdbkcchpnghhaebfoimamop
• akialmafcdmkelghnomeneinkcllnoih
• eholblediahnodlgigdkdhkkpmbiafoj
• ipokalojgdmhfpagmhnjokidnpjfnfik
• hdpmmcmblgbkllldbccfdejchjlpochf
• iphacjobmeoknlhenjfiilbkddgaljad
• jiiggekklbbojgfmdenimcdkmidnfofl
• gkhggnaplpjkghjjcmpmnmidjndojpcn
• opakkgodhhongnhbdkgjgdlcbknacpaa
• nkjomoafjgemogbdkhledkoeaflnmgfi
• ebileebbekdcpfjlekjapgmbgpfigled
• oaacndacaoelmkhfilennooagoelpjop
• ljkgnegaajfacghepjiajibgdpfmcfip
• hgolomhkdcpmbgckhebdhdknaemlbbaa
• bboeoilakaofjkdmekpgeigieokkpgfn
• dkkpollfhjoiapcenojlmgempmjekcla
• emiocjgakibimbopobplmfldkldhhiad
• nchdmembkfgkejljapneliogidkchiop
• lljplndkobdgkjilfmfiefpldkhkhbbd
• hofaaigdagglolgiefkbencchnekjejl
• hohobnhiiohgcipklpncfmjkjpmejjni
• jocnjcakendmllafpmjailfnlndaaklf
• bjdclfjlhgcdcpjhmhfggkkfacipilai
• ahebpkbnckhgjmndfjejibjjahjdlhdb
• enaigkcpmpohpbokbfllbkijmllmpafm
• bpngofombcjloljkoafhmpcjclkekfbh
• cacbflgkiidgcekflfgdnjdnaalfmkob
• ibmgdfenfldppaodbahpgcoebmmkdbac