繼 ShadyPanda 的後門攻擊事件後，MetaDefender Endpoint 如何Endpoint 阻止瀏覽器擴充功能漏洞攻擊

對多數使用者而言，瀏覽器擴充功能往往看似無害，因此他們在安裝時通常對其安全性毫無疑慮。這一點在經瀏覽器本身（例如 Google Chrome）推薦或驗證的擴充功能上尤為明顯。一旦安裝，此類擴充功能可能會獲得讀取使用者幾乎所有瀏覽內容的權限，包括電子郵件、會話資料、密碼、按鍵記錄以及內部工具，而這些正是攻擊者通常企圖利用的目標。

當代號為「ShadyPanda」的威脅行為者將後門植入安裝於超過 4,000,000 台裝置上的熱門瀏覽器擴充功能時，這再次顯示出攻擊者有多麼容易藏身於常被忽視的瀏覽器擴充功能這個攻擊途徑之中。

ShadyPanda 攻擊絕非孤立事件。過去幾年來，已出現多起重大瀏覽器擴充功能漏洞利用事件：

• 2025年，研究人員揭露了一項涉及18個惡意擴充功能的攻擊行動，這些擴充功能會跨Chrome與Edge瀏覽器追蹤使用者的行為。
• 2023 年，一款下載量超過 200 萬次的 Chrome 擴充功能「PDF Toolbox」，能夠將任意程式碼注入使用者造訪的每一個網頁。
• 2019年，DataSpii 資料外洩事件（涉及 Hover Zoom 和 SpeakIt 等擴充功能）導致用戶的個人資訊遭到收集與洩露，其中包括瀏覽活動及其他可識別身分的資料。
• 2017年，一款名為「Archive Poster」的 Chrome 擴充功能，其原始碼中含有加密貨幣挖礦程式碼。
• 2017年，擁有超過一百萬名用戶的熱門工具「Chrome 網頁開發者工具」遭到入侵，被用於植入廣告並發動網路釣魚攻擊。

瀏覽器擴充功能之所以持續成為常見的攻擊途徑，原因在於以下幾個因素：

1. 自動更新：擴充功能可在無需使用者介入的情況下自動更新。若開發者帳戶遭入侵，或更新檔中混入了惡意程式碼，數百萬使用者將立即面臨風險。
2. 權限過高，監管不足：擴充功能通常需要廣泛的權限，包括讀取和修改網站內容、存取瀏覽活動，或與檔案進行互動。
3. 缺乏監控：許多組織並未監控員工安裝了哪些擴充功能、這些擴充功能要求了哪些權限，或是更新是否會引入新的威脅。
4. 用戶的信任極易被利用：用戶往往認為只要擴充功能來自瀏覽器商店，就代表是安全的，尤其是經過驗證或被推薦的情況下。
5. 過度依賴評分而非安全性：許多使用者僅憑擴充功能的人氣或評論就進行安裝，在未充分了解風險的情況下便授予權限。

瀏覽器擴充功能已成為最常見且最易遭利用的攻擊途徑之一。攻擊者無需借助偽裝的惡意軟體或複雜技術即可滲透用戶裝置。只要用戶點擊一次「新增至 Chrome」，便足以在瀏覽器中開啟一條直通通道，進而存取瀏覽器所能觸及的一切內容，使得攻擊者在無人察覺的情況下，輕易就能對數百萬台裝置發動攻擊。

一旦安裝了惡意瀏覽器擴充功能，它便可能：

• 擷取瀏覽資料、憑證、Cookie 及會話代碼
• 記錄按鍵操作，洩露密碼、訊息及機密輸入內容
• 竊取企業文件、敏感資料及個人識別資訊
• 將間諜軟體或惡意腳本植入使用者造訪的任何網站
• 開闢通往雲端服務及敏感應用程式的全新攻擊途徑
• 在未經使用者同意的情況下，於背景中下載其他惡意軟體
• 接管帳戶
• 將流量導向惡意網站，這些網站會自動下載惡意軟體或利用社會工程學手法
• 載入後門

組織不能僅仰賴使用者或瀏覽器商店來阻擋這些威脅。他們需要在終端點實施自動且強制性的檢查。