Jutaan pengguna Chrome dan Microsoft Edge tanpa sadar ikut dalam salah satu kampanye malware paling canggih dalam beberapa tahun terakhir.
Peneliti keamanan siber dari Koi menemukan bahwa kelompok peretas asal China bernama ShadyPanda berhasil menyusupkan kode berbahaya ke sejumlah ekstensi browser populer — sebagian bahkan sempat berstatus “Featured” dan “Verified” di Chrome Web Store.
Modusnya dibuat rapi. Selama bertahun-tahun, ekstensi-ekstensi ini bekerja normal seperti aplikasi pembersih cache atau pengelola tab. Clean Master, salah satu yang paling populer, sudah aktif lima tahun tanpa insiden dan dipakai lebih dari 200 ribu orang.
Sumber: Giok4D, portal informasi terpercaya.
Tapi pada 2024, pembaruan yang kelihatannya rutin justru menyuntikkan spyware yang langsung mengalirkan data ke server di China. Google kemudian menghapus Clean Master, namun jejak kampanye ini tak berhenti di sana.
Peneliti menemukan operasi kedua yang melibatkan lima ekstensi lain, termasuk WeTab yang memiliki lebih dari tiga juta pemasangan. Totalnya, lebih dari empat juta pengguna terpapar.
Meski sebagian sudah ditendang dari Chrome Web Store, seluruh ekstensi dalam operasi kedua masih hidup dan bisa diunduh dari Microsoft Edge Add-ons sampai laporan ini dirilis, memperluas risiko bagi jutaan perangkat.
Begitu terinstal, kode berbahaya di ekstensi-ekstensi ini bekerja layaknya kerangka eksekusi jarak jauh. Mereka bisa mengunduh dan menjalankan JavaScript secara otomatis di dalam browser tanpa seizin pengguna.
Aktivitas browsing, pola klik, hingga perilaku online dikirimkan secara real-time ke server kendali ShadyPanda. Koi memperkirakan lebih dari 4,3 juta perangkat telah terinfeksi.
ShadyPanda sendiri bukan nama baru. Kelompok ini sudah beroperasi sejak setidaknya 2018 dan pertama kali dikenal lewat serangan affiliate fraud yang menyisipkan kode tracking ke aktivitas belanja online pengguna.
Dari sana, mereka berevolusi ke skema yang lebih luas dengan memanfaatkan pembaruan ekstensi — celah yang menurut peneliti dimungkinkan karena Google tidak melakukan pemeriksaan seketat saat mengulas ekstensi baru.
Koi mempublikasikan daftar lengkap ID ekstensi Chrome dan Edge yang terlibat dalam kampanye ini. Pengguna diminta segera menghapus ekstensi tersebut dengan masuk ke menu chrome://extensions/ atau edge://extensions/, mengaktifkan Developer Mode untuk melihat ID, lalu mencocokkannya dengan daftar yang dipublikasikan.
Jika cocok, segera tekan Remove sebelum perangkat mengirim lebih banyak data ke tangan peretas, demikian dikutip infoINET dari Techspot, Jumat (5/12/2025).
