AI 摘要：Koi Security 揭露了名为 ShadyPanda 的威胁行为者在过去七年间通过伪装的浏览器扩展发动攻击，从最初的联盟欺诈到最终的远程代码执行 (RCE, Remote Code Execution) 与间谍软件(SPYWARE) 操控，总计感染了超过 430 万 Chrome 与 Edge 用户。该攻击者利用浏览器商店的信任与自动更新机制，先积累用户再通过静默更新“武器化”扩展。研究揭示，此类威胁并非单一事件，而是浏览器扩展生态系统的结构性安全缺陷——信任被系统性滥用。

1. 威胁概述与发现经过
• Koi 研究团队追踪到长达七年的浏览器扩展攻击链，命名为 ShadyPanda。
• 总计影响 430 万 Chrome 与 Edge 用户，两条主要恶意活动：一为 RCE 后门感染 30 万用户，另一为间谍软件监控 400 万用户。
• 攻击者通过合法推广与 Google 认证获得用户信任，再利用静默更新执行恶意代码。

2. 第一阶段：壁纸欺诈与联盟滥用 (2023)
• 共 145 个伪装成壁纸或效率工具的扩展程序，在 Chrome 与 Edge 市场上发布。
• 利用联盟营销注入追踪代码、窃取佣金，并通过 Google Analytics 收集与兜售浏览数据。
• 攻击者学会了三大关键经验：审核只关注初次上架；用户信任“高安装量+好评”；伪装时间越长危害越大。

3. 第二阶段：搜索劫持与主动控制 (2024 初)
• 改以控制浏览器核心行为为目标，如 Infinity V+ 劫持搜索请求、篡改结果。
• 实施 Cookie 数据外泄与实时键入监控，通过明文 HTTP 发送用户输入数据。
• 攻击者虽被多次下架，但逐渐提升隐蔽性与数据利用能力。

4. 第三阶段：长线布局与后门植入 (2018–2024)
• 多个扩展（如 Clean Master）先以合法身份运营多年，获得“精选(Featured)”与“验证(Verified)”标记。
• 于 2024 年中期推送恶意更新，触发远程代码执行框架。
• 恶意负载可每小时从 C&C (Command and Control) 服务器获取命令，具备完全浏览器访问权限。
• 收集完整浏览数据、设备指纹、加密外传；能躲避分析并执行中间人攻击 (MITM)。
• 尽管部分扩展被移除，后端基础设施仍活跃于受感染浏览器。

5. 第四阶段：间谍网络与大规模监控 (2023–今)
• Clean Master 背后的同一发行商 Starlab Technology 推出 5 款新扩展，在 Edge 市场累积超 400 万安装。
• WeTab 新标签页 alone 拥有 300 万用户，持续收集访问记录、搜索输入、点击轨迹与完整指纹。
• 数据实时传输至多个中国服务器与 Google Analytics，用于行为分析与潜在情报搜集。
• 当前仍在 Edge 市场上架，具有全面权限且可随时被“武器化”。

6. 七年战术演进与系统漏洞
• 几个阶段由浅入深：从简单的联盟欺诈到长期潜伏与数据控制。
• 共通特征：代码签名相似、基础架构重叠、混淆方式演化一致。
• 核心问题在于浏览器扩展生态的信任模型：审核仅限初期、缺乏动态监控。
• 自动更新机制成为主要攻击向量，无需钓鱼或社工即可实现大范围感染。

7. 结语与安全启示
• 根本教训：信任本身是最大的漏洞。
• 静态代码审核无法应对多年潜伏的攻击链。
• Koi Security 推出行为分析与风险评分方案，关注“扩展安装后实际行为”而非声称功能。
• 呼吁浏览器平台与企业加大对行为监测与扩展生态安全的关注。

AI 摘要：本文是 Chrome 开发者博客于 2025 年 6 月发布的一篇关于 Chrome 扩展程序最新动态的综述，涵盖了过去几个月 Chrome 网上应用店和扩展平台的重要更新。文章详细介绍了 Google I/O 大会上关于 Chrome 扩展的新功能和未来规划、用户脚本 API 的改进、提交审核流程优化、安全性提升的验证上传功能、测试账户凭据支持、政策更新、功能弃用、即将推出的特性以及社区活动和视频内容。通过这些更新，Chrome 致力于提升开发者体验和用户安全性，同时推动跨浏览器扩展的兼容性。

1. 亮点
• Google I/O：介绍了产品经理在大会上分享的 Chrome 扩展和网上应用店的最新进展，以及与 Gemini 结合的未来潜力，包含了多个相关主题的演讲视频播放列表，并邀请开发者参与班加罗尔和柏林的活动。
• userScripts.execute 方法：用户脚本 API 允许扩展在特定页面上运行用户脚本，新方法支持随时执行脚本，而无需提前注册，提升了灵活性。
• 取消审核：开发者可取消待审核的扩展提交并立即提交新版本，优化了提交流程。
• 验证 CRX 上传：引入了私钥签名机制，确保只有持有私钥的人能上传新版本，增强了账户和发布流程的安全性。
• 测试账户凭据：开发者可在开发者仪表板中提供测试指令和凭据，帮助审核团队评估扩展功能，尤其是在申请特色徽章时。
• 政策更新：更新了 Chrome 网上应用商店的政策，包括一般性更新和联属广告政策调整。

2. 功能弃用
• 移除 --load-extension 标志：Chrome 137 版本将移除该命令行标志，因其常被用于加载恶意软件；同时提供了测试替代方案，并改进了 Puppeteer 等工具。

3. 即将推出的功能
• 用户脚本 API 开关变更：针对用户需启用开发者模式和 API 可用性检测的反馈，计划引入新开关以简化启用流程。

4. 社区更新
• WECG 三月聚会：在柏林 Mozilla 办公室与 W3C WebExtensions 社区小组成员讨论了平台未来发展和跨浏览器兼容性。
• Svelte 伦敦演讲：Oliver Turner 分享了构建浏览器扩展的经验和技巧，适合新手和资深开发者。

5. 新视频
• 扩展很酷：Patrick 发布新视频，介绍各种用户可用的扩展类型。
• 打地鼠游戏：Oliver 制作并分享了一个打地鼠游戏 demo 的构建过程视频。
• 新扩展菜单：展示了 Chrome 实验性新扩展菜单及相关新 API。

Chrome for Developers

What's happening in Chrome Extensions, June 2025  |  Blog  |  Chrome for Developers

An overview of the recent changes in Chrome Extensions, plus exciting upcoming extensions features developers can look forward to.

AI 摘要：本文详细介绍了作者在开发 Chrome 扩展程序时，如何通过自定义实现来拦截网络请求（包括 fetch 和 XHR），以满足特定需求（如批量屏蔽 Twitter 垃圾用户）。作者分析了现有库的不足，提出了自己的设计需求，并基于类似 Hono 中间件的洋葱模型，设计并实现了一个简洁而强大的拦截器 API。文章从动机、设计到具体实现，逐步讲解了如何覆盖原生 fetch 和 XHR 方法以实现请求和响应的拦截与修改，最终将成果发布为 npm 包