ในเหตุการณ์การโจมตีทางไซเบอร์ที่ซับซ้อนและดำเนินมายาวนาน กลุ่มผู้คุกคามที่รู้จักกันในชื่อ ShadyPanda ได้อาวุธส่วนขยายเบราว์เซอร์ยอดนิยมให้กลายเป็นสปายแวร์ที่ติดเชื้อผู้ใช้ไปแล้วกว่า 4.3 ล้านราย แคมเปญนี้ใช้ประโยชน์จากกลไกการอัปเดตอัตโนมัติที่ผู้ใช้ไว้วางใจของ Google Chrome และ Microsoft Edge เพื่อส่งมอบโค้ดที่เป็นอันตรายอย่างเงียบ ๆ ไปยังผู้ใช้ที่เชื่อว่าตนกำลังติดตั้งเครื่องมือเพื่อเพิ่มประสิทธิภาพการทำงานหรือเปลี่ยนวอลล์เปเปอร์ที่ถูกต้องตามกฎหมาย เหตุการณ์นี้ทำให้เกิดคำถามสำคัญเกี่ยวกับความปลอดภัยของระบบนิเวศส่วนขยายเบราว์เซอร์และกระบวนการตรวจสอบของแพลตฟอร์มเทคโนโลยีรายใหญ่
การวิวัฒนาการและขอบเขตของแคมเปญ ShadyPanda
ปฏิบัติการ ShadyPanda ไม่ใช่การโจมตีที่เกิดขึ้นชั่วคราว แต่เป็นแคมเปญที่พัฒนากลยุทธ์มาอย่างต่อเนื่องเป็นเวลาหลายปี จากรายงานโดยละเอียดของบริษัทความปลอดภัยทางไซเบอร์ Koi Security กลุ่มนี้ได้ส่งส่วนขยายที่ดูเหมือนไม่มีอันตรายไปยัง Chrome Web Store และแพลตฟอร์ม Microsoft Edge Add-ons ตั้งแต่ปี 2018 แล้ว ส่วนขยายเหล่านี้ เช่น Clean Master และ WeTab สร้างฐานผู้ใช้ที่ถูกต้องตามกฎหมาย บางครั้งมีจำนวนสูงถึงหลายล้านคน และยังได้รับตรา "Featured" หรือ "Verified" จากร้านค้าออนไลน์อีกด้วย การเปลี่ยนเป็นอันตรายเกิดขึ้นในเวลาต่อมา โดยนักวิจัยสังเกตเห็นสัญญาณแรกของพฤติกรรมที่เป็นอันตรายในการอัปเดตที่ถูกผลักดันในปี 2023 และ 2024 กลยุทธ์ที่อดทนและยาวนานหลายปีนี้ทำให้มัลแวร์ฝังตัวลึกเข้าไปในช่องทางการอัปเดตที่เชื่อถือได้ของเบราว์เซอร์หลัก ข้ามการตรวจสอบเบื้องต้นและใช้ประโยชน์จากชื่อเสียงของส่วนเสริมที่ได้รับการยอมรับแล้ว
ส่วนขยายที่เป็นอันตรายที่ถูกระบุ (ตัวอย่าง):
- Clean Master: เครื่องมือทำความสะอาดแคชที่มีการติดตั้งมากกว่า 200,000 ครั้ง; เคยได้รับสถานะ "แนะนำ" บน Chrome Web Store
- WeTab: ส่วนเสริมสำหรับจัดการแท็บที่มีการติดตั้งมากกว่า 3 ล้านครั้งบน Microsoft Edge
- Infinity V+: ส่วนขยายอีกชื่อหนึ่งที่ถูกระบุในแคมเปญนี้
ข้อมูลที่ถูกสปายแวร์เก็บรวบรวม: ประวัติการท่องเว็บและ URL คำค้นหา การกดแป้นพิมพ์ คุกกี้และข้อมูลในที่เก็บข้อมูลท้องถิ่น/เซสชัน ข้อมูลลายนิ้วมือเบราว์เซอร์ การคลิกเมาส์พร้อมพิกัดตำแหน่ง
ไทม์ไลน์ของแคมเปญ:
- ปี 2018: ส่วนขยายชุดแรกถูกส่งขึ้นร้านค้าออนไลน์
- ปี 2023: เริ่มพบการอัปเดตที่เป็นอันตรายครั้งแรก (ส่วนขยายเฟส 1)
- ปี 2024: การอัปเดตที่เป็นอันตรายถูกปล่อยไปยังส่วนขยายเฟส 2
- ธันวาคม 2025: แคมเปญถูกเปิดเผยรายละเอียดต่อสาธารณะโดย Koi Security
ส่วนขยายที่เป็นอันตรายทำงานอย่างไร
เมื่อถูกเปิดใช้งานผ่านการอัปเดต ส่วนขยายที่ถูกบุกรุกจะทำหน้าที่เป็นเฟรมเวิร์กสำหรับการรันโค้ดจากระยะไกลที่มีประสิทธิภาพ พวกมันทำงานเป็นขั้นตอน เริ่มจากกิจกรรมที่รุกรานน้อยกว่า เช่น การฉีดโค้ดติดตามพันธมิตรลงในลิงก์ช้อปปิ้งเพื่อสร้างรายได้ที่ผิดกฎหมาย จากนั้นจึงเพิ่มระดับไปสู่การแย่งชิงการค้นหา ซึ่งบันทึก จัดการ และขายคำค้นหาของผู้ใช้ ขั้นตอนที่อันตรายที่สุดมอบสิทธิ์การเข้าถึงเบราว์เซอร์แบบเต็มให้กับส่วนขยาย ทำให้สามารถดาวน์โหลดและรันโค้ด JavaScript ตามอำเภอใจได้ทุกชั่วโมง ความสามารถนี้ทำให้สปายแวร์สามารถรวบรวมข้อมูลส่วนบุคคลที่หลากหลายและน่าตกใจได้ รวมถึงประวัติการท่องเว็บทั้งหมด การกดแป้นพิมพ์ คุกกี้ ข้อมูลที่เก็บในเครื่อง และแม้แต่พิกัดการคลิกเมาส์ที่แม่นยำ สิ่งที่น่าตกใจที่สุดคือ ส่วนขยายเหล่านี้สามารถดำเนินการโจมตีแบบ adversary-in-the-middle (AitM) ได้ ซึ่งทำให้พวกมันอยู่ในตำแหน่งที่จะขโมยข้อมูลประจำตัวสำหรับเข้าสู่ระบบ แย่งชิงเซสชันที่กำลังใช้งานอยู่ และฉีดโค้ดที่เป็นอันตรายลงในเว็บไซต์ใดก็ตามที่ผู้ใช้เข้าเยี่ยมชม
ช่องโหว่ด้านความปลอดภัยที่สำคัญในการตรวจสอบส่วนขยาย
ความล้มเหลวหลักที่ถูก ShadyPanda ใช้ประโยชน์อยู่ที่นโยบายความปลอดภัยของร้านค้าส่วนขยายเบราว์เซอร์ แม้ว่าการส่งส่วนขยายใหม่จะผ่านกระบวนการตรวจสอบ แต่การอัปเดตส่วนขยายที่มีอยู่มักไม่ได้รับการตรวจสอบในระดับที่เข้มงวดเท่ากัน ผู้โจมตีใช้ประโยชน์จากช่องว่างนี้ได้อย่างสมบูรณ์แบบ พวกเขาส่งโค้ดที่สะอาดเพื่อผ่านการตรวจสอบเบื้องต้น ได้รับฐานการติดตั้งจำนวนมากและชื่อเสียงที่ดี แล้วจึงผลักดันการอัปเดตที่เป็นอันตรายซึ่งหลบเลี่ยงการตรวจจับของระบบสแกนความปลอดภัยอัตโนมัติ สิ่งนี้เน้นให้เห็นถึงช่องโหว่เชิงระบบที่ความไว้วางใจ เมื่อได้รับมาแล้ว มักไม่ได้รับการประเมินใหม่ด้วยความเข้มข้นเท่าเดิม การส่งมอบการอัปเดตที่เป็นพิเศษเหล่านี้อย่างเงียบ ๆ และอัตโนมัติหมายความว่าผู้ใช้ไม่ได้รับคำเตือนใด ๆ เครื่องมือที่พวกเขาไว้วางใจก็เปลี่ยนเป็นแพลตฟอร์มสอดแนมข้ามคืน
ขั้นตอนที่ผู้ใช้ต้องทำเพื่อปกป้องตนเอง
สำหรับผู้ใช้ที่กังวลเกี่ยวกับการติดเชื้อ จำเป็นต้องดำเนินการทันที ประการแรก คุณควรตรวจสอบส่วนขยายที่ติดตั้งของคุณกับรายการรหัสส่วนขยายที่เป็นอันตรายที่ระบุโดย Koi Security ซึ่งเกี่ยวข้องกับการนำทางไปที่ chrome://extensions/ หรือ edge://extensions/ เปิดโหมด "Developer mode" และเปรียบเทียบรหัสส่วนขยาย (ID) ส่วนขยายใดที่ตรงกันควรถอนการติดตั้งทันที หลังจากถอนการติดตั้งแล้ว ขอแนะนำให้รีเซ็ตรหัสผ่านบัญชีออนไลน์ทั้งหมดอย่างครอบคลุม เนื่องจากสปายแวร์มีความสามารถในการเก็บรวบรวมข้อมูลประจำตัว การใช้ตัวจัดการรหัสผ่านที่เชื่อถือได้สามารถทำให้งานที่น่ากังวลนี้เป็นระบบมากขึ้น นอกจากนี้ เหตุการณ์นี้ยังเน้นย้ำถึงความสำคัญของการฝึกสุขอนามัยเกี่ยวกับส่วนขยาย: ตรวจสอบส่วนขยายที่ติดตั้งของคุณเป็นประจำ ลบส่วนขยายที่คุณไม่ได้ใช้ออกแล้ว และระมัดระวังอย่างมากเกี่ยวกับสิ่งที่คุณติดตั้ง แม้จะมาจากร้านค้าอย่างเป็นทางการก็ตาม
ผลกระทบในวงกว้างและการตอบสนอง
ขอบเขตและระยะเวลาของแคมเปญ ShadyPanda บ่งบอกถึงการเปลี่ยนแปลงที่สำคัญในกลยุทธ์ของอาชญากรไซเบอร์ ซึ่งเปลี่ยนจากการโจมตีด้วยอีเมลฟิชชิงไปสู่การบ่อนทำลายซัพพลายเชนซอฟต์แวร์ที่เชื่อถือได้ ทั้ง Google และ Microsoft ต่างระบุว่าพวกเขาได้ลบส่วนขยายที่ระบุออกจากร้านค้าของตนแล้ว อย่างไรก็ตาม ความจริงที่ว่าบางส่วนขยายที่เป็นอันตรายยังคงปรากฏอยู่บนไซต์ Edge Add-ons แม้หลังจากที่แคมเปญถูกเปิดเผยต่อสาธารณะแล้ว ชี้ให้เห็นถึงความท้าทายที่อาจเกิดขึ้นในการดำเนินการปิดบริการอย่างประสานงาน เหตุการณ์นี้เป็นเครื่องเตือนใจที่ชัดเจนว่าไม่มีแพลตฟอร์มใดที่ปลอดภัย และความปลอดภัยเป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการแพลตฟอร์ม ซึ่งต้องเสริมสร้างกระบวนการตรวจสอบการอัปเดต และผู้ใช้ปลายทาง ซึ่งต้องตื่นตัวอยู่เสมอเกี่ยวกับเครื่องมือดิจิทัลที่พวกเขาเชิญเข้ามาในเบราว์เซอร์ของตน