安全公司 Koi Security 披露了被称为 ShadyPanda 的攻击者利用浏览器扩展感染了 430 万 Chrome 和 Edge 用户。攻击者采取了长线方案，首先通过合法应用吸引积累用户群，然后通过后续更新植入恶意代码。攻击者的活动分为多个阶段，第一阶段是在扩展中嵌入联盟营销追踪代码，拦截电商平台购物链接嵌入自己的联盟营销代码获取佣金；第二阶段是劫持搜索和窃取 cookie；第三阶段植入远程访问后门变成间谍软件窃取敏感浏览器数据。 受影响的扩展包括了 Clean Master、以及 Infinity 和 WeTab 等。WeTab 开发商随后发表声明，称 Clean Master 扩展已被该公司出售，与 WeTab 和 Infinity 已经没有关联，而 WeTab 和 Infinity 并没有恶意代码，

https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign
https://mp.weixin.qq.com/s/E8YQLWZFM2J7r5DZNSl47w