В начале декабря 2025 года специалисты по кибербезопасности раскрыли масштабную кампанию, организованную группировкой под названием ShadyPanda. Злоумышленники нацелились на популярные расширения для браузеров Chrome и Microsoft Edge, затронув приблизительно 4,3 миллиона пользователей. Операция отличалась длительной подготовкой: хакеры вели «долгую игру» на протяжении 7 лет, выстраивая доверие к безопасным на первый взгляд инструментам. Атака осуществлялась через цепочку поставок, где преступники либо публиковали собственные легитимные расширения, либо приобретали права на уже существующие популярные продукты. Эти приложения получали значки «Рекомендованные» и «Проверенные» в официальных магазинах Chrome Web Store и Microsoft Edge Add-ons, что усыпляло бдительность пользователей и администраторов.
Превращение легитимного программного обеспечения во вредоносное произошло посредством тихих фоновых обновлений. Скомпрометированные расширения были активированы в середине 2024 года, превратившись в полноценный фреймворк для удаленного выполнения кода (RCE). Технические возможности этого вредоносного ПО включали загрузку и запуск произвольного JavaScript, получение полного доступа к данным браузера и функции шпионского ПО, такие как мониторинг каждого URL-адреса и нажатия клавиш. Кроме того, скрипты могли внедряться непосредственно в веб-страницы для эксфильтрации данных просмотра и учетных данных.
Главным вектором угрозы стала кража сессионных куки и токенов, что позволяло злоумышленникам выдавать себя за легитимных пользователей SaaS-аккаунтов, таких как Microsoft 365 или Google Workspace. Это явление уже окрестили «кошмаром безопасности SaaS», поскольку расширения действовали как вторженцы с ключами от корпоративных систем. Украденные токены предоставляли несанкционированный доступ к Slack, Salesforce, корпоративной почте, файлам и сообщениям в чатах. Традиционная многофакторная аутентификация (MFA) оказалась бессильной, так как сессии уже были аутентифицированы.
Инцидент продемонстрировал концептуальный сдвиг в понимании угроз, размывая грань между безопасностью конечных точек и безопасностью облачной идентификации. Браузер теперь должен рассматриваться как расширение поверхности атаки на SaaS. Многие организации позволяют сотрудникам свободно устанавливать расширения без должного надзора, что открывает доступ к локальному хранилищу, сессиям облачной авторизации и активному веб-контенту. Для минимизации рисков эксперты предлагают четырехступенчатую стратегию защиты.
Первый шаг заключается во внедрении строгих списков разрешенных расширений и управлении ими. Необходимо провести аудит всех корпоративных и BYOD-расширений, используя инструменты управления браузером предприятия. Любые расширения должны рассматриваться как «виновные, пока не доказано обратное», даже если они популярны. Широкие права доступа, например чтение всех данных веб-сайтов, должны требовать четкого бизнес-обоснования.
Второй шаг требует отношения к доступу расширений так же, как к доступу OAuth. Надзор за расширениями следует интегрировать в процессы управления идентификацией и доступом (IAM), каталогизируя авторизованные утилиты. Важно сопоставить, какие данные SaaS затрагивает расширение; например, чтение куки приравнивается к имитации пользователя. Инструменты безопасности идентификации должны быть настроены на оповещение о признаках перехвата сеанса, таких как странные паттерны входа, использование токенов OAuth из двух разных локаций или обход MFA. Также критически важно удалять расширения с высоким риском при смене ролей сотрудниками или их увольнении.
Третьим этапом является регулярный аудит прав доступа расширений, проводимый каждые несколько месяцев, аналогично квартальным обзорам доступа. Необходимо проверять историю издателя и обновлений на предмет выкупа приложения или смены сопровождающих лиц. Особое внимание следует уделять расширениям, которые внезапно запрашивают более широкие разрешения. Команды безопасности должны задавать вопросы о необходимости использования инструмента и изменениях в праве собственности.
Четвертый шаг включает мониторинг подозрительного поведения расширений. Технический контроль подразумевает логирование событий установки и обновления, а также анализ необычных сетевых вызовов к неизвестным внешним доменам. Рекомендуется проверять журналы браузера или использовать агенты на конечных точках для отметки изменений файлов. Эффективной стратегией является поэтапное развертывание обновлений на подмножестве машин перед широким внедрением. Также необходимо обучать сотрудников сообщать о неожиданном поведении браузера, таком как новый интерфейс, всплывающие окна или проблемы с производительностью.
Для автоматизации и масштабирования защиты от подобных угроз компания Reco представила платформу динамической безопасности SaaS. Решение картографирует и отслеживает использование SaaS, включая рискованные подключенные приложения и расширения. Платформа обеспечивает обнаружение угроз на основе идентификации и коррелирует риски на стороне браузера с поведением учетных записей SaaS, чтобы преодолеть разрыв между безопасностью конечных точек и облака, предотвращая события, подобные атаке ShadyPanda.
Информацию об этой угрозе и методах защиты предоставил Гал, бывший подполковник в офисе премьер-министра Израиля. Являясь исследователем безопасности, хакером и техническим энтузиастом, он обладает экспертизой в человеческом факторе кибербезопасности и руководил командами в различных областях защиты информации.
Изображение носит иллюстративный характер
Превращение легитимного программного обеспечения во вредоносное произошло посредством тихих фоновых обновлений. Скомпрометированные расширения были активированы в середине 2024 года, превратившись в полноценный фреймворк для удаленного выполнения кода (RCE). Технические возможности этого вредоносного ПО включали загрузку и запуск произвольного JavaScript, получение полного доступа к данным браузера и функции шпионского ПО, такие как мониторинг каждого URL-адреса и нажатия клавиш. Кроме того, скрипты могли внедряться непосредственно в веб-страницы для эксфильтрации данных просмотра и учетных данных.
Главным вектором угрозы стала кража сессионных куки и токенов, что позволяло злоумышленникам выдавать себя за легитимных пользователей SaaS-аккаунтов, таких как Microsoft 365 или Google Workspace. Это явление уже окрестили «кошмаром безопасности SaaS», поскольку расширения действовали как вторженцы с ключами от корпоративных систем. Украденные токены предоставляли несанкционированный доступ к Slack, Salesforce, корпоративной почте, файлам и сообщениям в чатах. Традиционная многофакторная аутентификация (MFA) оказалась бессильной, так как сессии уже были аутентифицированы.
Инцидент продемонстрировал концептуальный сдвиг в понимании угроз, размывая грань между безопасностью конечных точек и безопасностью облачной идентификации. Браузер теперь должен рассматриваться как расширение поверхности атаки на SaaS. Многие организации позволяют сотрудникам свободно устанавливать расширения без должного надзора, что открывает доступ к локальному хранилищу, сессиям облачной авторизации и активному веб-контенту. Для минимизации рисков эксперты предлагают четырехступенчатую стратегию защиты.
Первый шаг заключается во внедрении строгих списков разрешенных расширений и управлении ими. Необходимо провести аудит всех корпоративных и BYOD-расширений, используя инструменты управления браузером предприятия. Любые расширения должны рассматриваться как «виновные, пока не доказано обратное», даже если они популярны. Широкие права доступа, например чтение всех данных веб-сайтов, должны требовать четкого бизнес-обоснования.
Второй шаг требует отношения к доступу расширений так же, как к доступу OAuth. Надзор за расширениями следует интегрировать в процессы управления идентификацией и доступом (IAM), каталогизируя авторизованные утилиты. Важно сопоставить, какие данные SaaS затрагивает расширение; например, чтение куки приравнивается к имитации пользователя. Инструменты безопасности идентификации должны быть настроены на оповещение о признаках перехвата сеанса, таких как странные паттерны входа, использование токенов OAuth из двух разных локаций или обход MFA. Также критически важно удалять расширения с высоким риском при смене ролей сотрудниками или их увольнении.
Третьим этапом является регулярный аудит прав доступа расширений, проводимый каждые несколько месяцев, аналогично квартальным обзорам доступа. Необходимо проверять историю издателя и обновлений на предмет выкупа приложения или смены сопровождающих лиц. Особое внимание следует уделять расширениям, которые внезапно запрашивают более широкие разрешения. Команды безопасности должны задавать вопросы о необходимости использования инструмента и изменениях в праве собственности.
Четвертый шаг включает мониторинг подозрительного поведения расширений. Технический контроль подразумевает логирование событий установки и обновления, а также анализ необычных сетевых вызовов к неизвестным внешним доменам. Рекомендуется проверять журналы браузера или использовать агенты на конечных точках для отметки изменений файлов. Эффективной стратегией является поэтапное развертывание обновлений на подмножестве машин перед широким внедрением. Также необходимо обучать сотрудников сообщать о неожиданном поведении браузера, таком как новый интерфейс, всплывающие окна или проблемы с производительностью.
Для автоматизации и масштабирования защиты от подобных угроз компания Reco представила платформу динамической безопасности SaaS. Решение картографирует и отслеживает использование SaaS, включая рискованные подключенные приложения и расширения. Платформа обеспечивает обнаружение угроз на основе идентификации и коррелирует риски на стороне браузера с поведением учетных записей SaaS, чтобы преодолеть разрыв между безопасностью конечных точек и облака, предотвращая события, подобные атаке ShadyPanda.
Информацию об этой угрозе и методах защиты предоставил Гал, бывший подполковник в офисе премьер-министра Израиля. Являясь исследователем безопасности, хакером и техническим энтузиастом, он обладает экспертизой в человеческом факторе кибербезопасности и руководил командами в различных областях защиты информации.
