ShadyPanda : 4,3 millions de navigateurs infectés par des extensions devenues malveillantes

Génération NT / Actualités / ShadyPanda : 4,3 millions de navigateurs infectés par des extensions devenues malveillantes

Publié le 03 décembre 2025 à 18:40 par Jérôme G.

Pendant sept ans, un groupe ShadyPanda a joué le jeu de la patience, transformant des extensions de navigateur en de puissants outils de surveillance et d'attaque.

Une campagne malveillante, nommée ShadyPanda par les chercheurs de Koi Security, a été mise au jour. Au total, 4,3 millions d'utilisateurs ont été touchés par une opération qui a duré sept ans, utilisant des extensions de navigateur d'apparence légitime sur Chrome et Edge.

La stratégie consistait à publier des outils inoffensifs, à accumuler une large base d'utilisateurs et une réputation de confiance, pour ensuite les transformer en armes via des mises à jour.

Comment ShadyPanda a-t-il pu opérer si longtemps ?

L'opération s'est déroulée en plusieurs phases, gagnant en sophistication avec le temps. Initialement, le groupe s'est concentré sur la fraude à l'affiliation avec 145 extensions qui injectaient des codes de suivi sur des sites e-commerce. Ils sont ensuite passés au détournement de recherche et à l'exfiltration de cookies.

Leur stratégie la plus redoutable fut celle du long terme. Des extensions comme Clean Master ont été publiées dès 2018, opérant légitimement pendant des années pour accumuler plus de 200 000 utilisateurs et obtenir des badges de la part de Google. Ce n'est qu'à la mi-2024 qu'une mise à jour silencieuse a transformé ces outils de confiance en malwares.

Quelle est l'ampleur de la menace actuelle ?

Les chercheurs de Koi ont identifié deux opérations toujours actives au moment de leur rapport. La première concernait cinq extensions, dont Clean Master, qui ont infecté 300 000 navigateurs avec une backdoor permettant l'exécution de code à distance. Le code malveillant se met à jour toutes les heures pour recevoir de nouvelles instructions, allant de la surveillance complète à de potentielles attaques de type ransomware.

Une seconde opération est plus vaste : cinq autres extensions publiées par le même éditeur, Starlab Technology, sur le Microsoft Edge Add-ons store totalisent plus de 4 millions d'installations. L'une d'elles, WeTab, avec 3 millions d'utilisateurs, fonctionne comme un spyware pour l'historique de navigation, les requêtes de recherche et les clics de souris, envoyant ces données vers des serveurs en Chine.

Un modèle de sécurité en cause ?

Le succès de ShadyPanda met en lumière un problème systémique : la sécurité des boutiques d'extensions se concentre sur l'analyse initiale lors de la soumission, mais néglige la surveillance continue après approbation.

Le mécanisme de mise à jour automatique, paradoxalement conçu pour maintenir la sécurité des utilisateurs, devient ici le vecteur d'attaque principal. " Pas de phishing. Pas d'ingénierie sociale. Juste des extensions de confiance avec de discrètes montées de version qui ont transformé des outils de productivité en plateformes de surveillance. "

Les extensions signalées ont été retirées par Microsoft et Google. Reste à savoir si la méthode d'attaque au long cours pourra être reproduite.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire