Dalam serangan siber yang canggih dan berlangsung lama, aktor ancaman yang dikenal sebagai ShadyPanda telah berhasil mempersenjatai ekstensi browser populer, mengubahnya menjadi spyware yang telah menginfeksi lebih dari 4,3 juta pengguna. Kampanye ini mengeksploitasi mekanisme pembaruan otomatis yang dipercaya dari Google Chrome dan Microsoft Edge, secara diam-diam mengirimkan kode berbahaya kepada pengguna yang mengira mereka menginstal alat produktivitas dan wallpaper yang sah. Insiden ini memunculkan pertanyaan serius tentang keamanan ekosistem ekstensi browser dan proses pemeriksaan platform teknologi besar.
Evolusi dan Skala Kampanye ShadyPanda
Operasi ShadyPanda bukanlah serangan dadakan baru-baru ini, melainkan kampanye yang telah berevolusi secara strategis selama beberapa tahun. Menurut laporan rinci dari perusahaan keamanan siber Koi Security, grup tersebut pertama kali mengajukan ekstensi yang tampaknya tidak berbahaya ke Chrome Web Store dan platform Microsoft Edge Add-ons sejak tahun 2018. Ekstensi-ekstensi ini, termasuk alat seperti Clean Master dan WeTab, membangun basis pengguna yang sah, terkadang mencapai jutaan, dan bahkan mendapatkan lencana "Featured" atau "Verified" dari toko aplikasi. Perubahan menjadi berbahaya terjadi jauh kemudian, dengan peneliti mencatat tanda-tanda pertama perilaku jahat muncul dalam pembaruan yang didorong pada tahun 2023 dan 2024. Strategi sabar selama bertahun-tahun ini memungkinkan malware tertanam dalam-dalam di dalam saluran pembaruan tepercaya browser utama, melewati pemeriksaan awal dan memanfaatkan reputasi add-on yang sudah mapan.
Ekstensi Berbahaya yang Teridentifikasi (Contoh):
- Clean Master: Pembersih cache dengan lebih dari 200.000 instalasi; pernah "Ditampilkan" di Chrome Web Store.
- WeTab: Ekstensi pengelola tab dengan lebih dari 3 juta instalasi di Microsoft Edge.
- Infinity V+: Ekstensi lain yang disebutkan dalam kampanye ini.
Data yang Dikumpulkan oleh Spyware: Riwayat penjelajahan dan URL Kueri pencarian Ketikan keyboard (keystrokes) Cookie dan data penyimpanan lokal/sesi Data fingerprinting browser Klik mouse beserta koordinatnya
Linimasa Kampanye:
- 2018: Ekstensi pertama dikirimkan ke toko.
- 2023: Pembaruan berbahaya pertama kali diamati (ekstensi Fase 1).
- 2024: Pembaruan berbahaya diterapkan ke ekstensi Fase 2.
- Desember 2025: Kampanye dirinci secara publik oleh Koi Security.
Cara Kerja Ekstensi Berbahaya
Setelah diaktifkan melalui pembaruan, ekstensi yang dikompromikan berfungsi sebagai kerangka kerja eksekusi kode jarak jauh yang kuat. Mereka beroperasi dalam beberapa fase, dimulai dengan aktivitas yang kurang mengganggu seperti menyuntikkan kode pelacakan afiliasi ke dalam tautan belanja untuk menghasilkan pendapatan penipuan. Ini meningkat menjadi pembajakan pencarian, di mana kueri pengguna dicatat, dimanipulasi, dan dijual. Fase paling berbahaya memberikan akses browser penuh kepada ekstensi, memungkinkan mereka mengunduh dan mengeksekusi kode JavaScript sewenang-wenang setiap jam. Kemampuan ini memungkinkan spyware mengumpulkan berbagai data pribadi yang menakutkan, termasuk riwayat penjelajahan lengkap, ketukan tombol, cookie, data penyimpanan lokal, dan bahkan koordinat klik mouse yang tepat. Yang paling mengkhawatirkan, ekstensi dapat melakukan serangan adversary-in-the-middle (AitM), menempatkan mereka dalam posisi untuk mencuri kredensial login, membajak sesi aktif, dan menyuntikkan kode berbahaya ke situs web mana pun yang dikunjungi pengguna.
Kelemahan Keamanan Kritis dalam Pemeriksaan Ekstensi
Kegagalan utama yang dieksploitasi oleh ShadyPanda terletak pada kebijakan keamanan toko ekstensi browser. Sementara pengajuan ekstensi baru menjalani proses peninjauan, pembaruan untuk ekstensi yang sudah ada seringkali tidak dikenakan tingkat pemeriksaan ketat yang sama. Para penyerang memanfaatkan celah ini dengan sempurna. Mereka mengirimkan kode bersih untuk lulus tinjauan awal, mendapatkan basis instalasi besar dan reputasi positif, lalu mendorong pembaruan berbahaya yang lolos dari pemindaian keamanan otomatis. Ini menyoroti kerentanan sistemik di mana kepercayaan, sekali diperoleh, jarang dievaluasi kembali dengan intensitas yang sama. Pengiriman diam-diam dan otomatis dari pembaruan beracun ini berarti pengguna tidak mendapat peringatan; alat tepercaya mereka berubah menjadi platform pengawasan dalam semalam.
Langkah yang Harus Diambil Pengguna untuk Melindungi Diri
Bagi pengguna yang khawatir tentang infeksi, tindakan segera diperlukan. Pertama, Anda harus memeriksa ekstensi yang terinstal dengan daftar ID berbahaya yang telah diidentifikasi yang diterbitkan oleh Koi Security. Ini melibatkan navigasi ke chrome://extensions/ atau edge://extensions/, mengaktifkan "Developer mode," dan membandingkan ID ekstensi. Kecocokan apa pun harus segera dihapus. Setelah penghapusan, pengaturan ulang kata sandi semua akun online secara komprehensif sangat disarankan, karena spyware memiliki kemampuan untuk mengumpulkan kredensial. Menggunakan pengelola kata sandi yang terpercaya dapat menyederhanakan tugas yang menakutkan ini. Selanjutnya, insiden ini menekankan pentingnya praktik kebersihan ekstensi: audit secara teratur ekstensi yang terinstal, hapus yang tidak lagi Anda gunakan, dan sangat selektif tentang apa yang Anda instal, bahkan dari toko resmi.
Implikasi dan Tanggapan yang Lebih Luas
Skala dan durasi kampanye ShadyPanda menandakan pergeseran taktik signifikan dalam kejahatan siber, beralih dari email phishing ke penyusupan rantai pasokan perangkat lunak tepercaya. Baik Google maupun Microsoft telah menyatakan bahwa mereka telah menghapus ekstensi yang teridentifikasi dari toko masing-masing. Namun, fakta bahwa beberapa ekstensi berbahaya tetap aktif di situs Edge Add-ons bahkan setelah kampanye diungkapkan secara publik menunjukkan potensi tantangan dalam penurunan koordinasi. Peristiwa ini menjadi pengingat nyata bahwa tidak ada platform yang kebal dan bahwa keamanan adalah tanggung jawab bersama antara vendor platform, yang harus memperkuat proses peninjauan mereka untuk pembaruan, dan pengguna akhir, yang harus tetap waspada tentang alat digital yang mereka undang ke dalam browser mereka.