ShadyPanda ប្រែក្លាយផ្នែកបន្ថែមកម្មវិធីរុករកដ៏ពេញនិយមជាមួយនឹងការដំឡើងចំនួន 4.3 លានដងទៅជាកម្មវិធីចារកម្ម

អ្នកគំរាមកំហែងម្នាក់ដែលគេស្គាល់ថាជា ShadyPanda ត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការផ្នែកបន្ថែមកម្មវិធីរុករករយៈពេលប្រាំពីរឆ្នាំ ដែលបានប្រមូលផ្តុំការដំឡើងជាង 4.3 លានដងតាមពេលវេលា។

ផ្នែកបន្ថែមចំនួនប្រាំក្នុងចំណោមផ្នែកបន្ថែមទាំងនេះបានចាប់ផ្តើមជាកម្មវិធីស្របច្បាប់មុនពេលការផ្លាស់ប្តូរព្យាបាទត្រូវបានណែនាំនៅពាក់កណ្តាលឆ្នាំ 2024 នេះបើយោងតាមរបាយការណ៍មួយពី Koi Security ដែលទាក់ទាញការដំឡើងចំនួន 300,000 ។ ផ្នែកបន្ថែមទាំងនេះត្រូវបានដកចេញចាប់តាំងពីពេលនោះមក។

អ្នកស្រាវជ្រាវសន្តិសុខ Tuval Admoni បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ The Hacker News ថា "ផ្នែកបន្ថែមទាំងនេះឥឡូវនេះដំណើរការការប្រតិបត្តិកូដពីចម្ងាយជារៀងរាល់ម៉ោង - ទាញយក និងប្រតិបត្តិ JavaScript ដោយបំពានជាមួយនឹងការចូលប្រើកម្មវិធីរុករកពេញលេញ"។ "ពួកគេតាមដានការចូលមើលគេហទំព័រនីមួយៗ លុបប្រវត្តិរុករកដែលបានអ៊ិនគ្រីប និងប្រមូលស្នាមម្រាមដៃកម្មវិធីរុករកពេញលេញ"។

អ្វីដែលធ្វើឱ្យស្ថានការណ៍កាន់តែអាក្រក់ទៅទៀត ផ្នែកបន្ថែមមួយក្នុងចំណោមផ្នែកបន្ថែមគឺ Clean Master ត្រូវបានបង្ហាញ និងផ្ទៀងផ្ទាត់ដោយ Google នៅចំណុចមួយ។ លំហាត់កសាងទំនុកចិត្តនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារពង្រីកមូលដ្ឋានអ្នកប្រើប្រាស់របស់ពួកគេ និងចេញផ្សាយការអាប់ដេតព្យាបាទដោយស្ងៀមស្ងាត់ជាច្រើនឆ្នាំក្រោយមកដោយមិនទាក់ទាញការសង្ស័យណាមួយឡើយ។

ទន្ទឹមនឹងនេះ សំណុំកម្មវិធីបន្ថែមចំនួនប្រាំផ្សេងទៀតពីអ្នកបោះពុម្ពផ្សាយដូចគ្នាត្រូវបានរចនាឡើងដើម្បីតាមដានរាល់ URL ដែលអ្នកប្រើប្រាស់បានចូលមើល ក៏ដូចជាកត់ត្រាសំណួរម៉ាស៊ីនស្វែងរក និងការចុចកណ្ដុរ និងបញ្ជូនព័ត៌មានទៅកាន់ម៉ាស៊ីនមេដែលមានទីតាំងនៅប្រទេសចិន។ កម្មវិធីបន្ថែមទាំងនេះត្រូវបានដំឡើងប្រហែលបួនលានដង ដោយ WeTab តែមួយមានការដំឡើងចំនួនបីលានដង។

សញ្ញាដំបូងនៃសកម្មភាពព្យាបាទត្រូវបានគេនិយាយថាត្រូវបានគេសង្កេតឃើញនៅឆ្នាំ 2023 នៅពេលដែលផ្នែកបន្ថែមចំនួន 20 នៅលើ Chrome Web Store និងផ្នែកបន្ថែមចំនួន 125 នៅលើ Microsoft Edge ត្រូវបានបោះពុម្ពផ្សាយដោយអ្នកអភិវឌ្ឍន៍ដែលមានឈ្មោះថា "nuggetsno15" និង "rocket Zhang" រៀងៗខ្លួន។ ផ្នែកបន្ថែមដែលបានកំណត់អត្តសញ្ញាណទាំងអស់បានក្លែងបន្លំជាកម្មវិធីផ្ទាំងរូបភាព ឬកម្មវិធីផលិតភាព។

ផ្នែកបន្ថែមទាំងនេះត្រូវបានគេរកឃើញថាចូលរួមក្នុងការក្លែងបន្លំសម្ព័ន្ធដោយការចាក់លេខកូដតាមដានដោយលួចលាក់នៅពេលដែលអ្នកប្រើប្រាស់បានចូលទៅកាន់ eBay, Booking.com ឬ Amazon ដើម្បីបង្កើតកម្រៃជើងសារខុសច្បាប់ពីការទិញរបស់អ្នកប្រើប្រាស់។ នៅដើមឆ្នាំ 2024 ការវាយប្រហារបានផ្លាស់ប្តូរពីការចាក់ថ្នាំដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ទៅជាការគ្រប់គ្រងកម្មវិធីរុករកសកម្មតាមរយៈការបញ្ជូនបន្តសំណួរស្វែងរក ការប្រមូលផលសំណួរស្វែងរក និងការលួចយកខូគីពីដែនជាក់លាក់។

លោក Koi បាននិយាយថា "ការស្វែងរកគេហទំព័រនីមួយៗត្រូវបានបញ្ជូនបន្តតាមរយៈ trovi.com - ដែលជាកម្មវិធីលួចចូលកម្មវិធីរុករកដែលគេស្គាល់"។ "សំណួរស្វែងរកត្រូវបានកត់ត្រា រកប្រាក់ និងលក់។ លទ្ធផលស្វែងរកត្រូវបានរៀបចំដើម្បីរកប្រាក់ចំណេញ"។

នៅចំណុចណាមួយនៅពាក់កណ្តាលឆ្នាំ 2024 ផ្នែកបន្ថែមចំនួនប្រាំ ដែលក្នុងនោះបីបានដំណើរការស្របច្បាប់អស់រយៈពេលជាច្រើនឆ្នាំ ត្រូវបានកែប្រែដើម្បីចែកចាយការអាប់ដេតព្យាបាទដែលបានណែនាំមុខងារដូចទ្វារក្រោយដោយពិនិត្យមើលដែន "api.extensionplay[.]com" ម្តងរៀងរាល់ម៉ោងដើម្បីទាញយក payload JavaScript និងប្រតិបត្តិវា។

ផ្នែករបស់វា payload ត្រូវបានរចនាឡើងដើម្បីតាមដានការចូលមើលគេហទំព័រនីមួយៗ និងផ្ញើទិន្នន័យជាទម្រង់ដែលបានអ៊ិនគ្រីបទៅកាន់ម៉ាស៊ីនមេ ShadyPanda ("api.cleanmasters[.]store") រួមជាមួយនឹងស្នាមម្រាមដៃកម្មវិធីរុករកលម្អិត។ ក្រៅពីការប្រើប្រាស់ការបិទបាំងយ៉ាងទូលំទូលាយដើម្បីលាក់មុខងារ ការប៉ុនប៉ងចូលប្រើឧបករណ៍អភិវឌ្ឍន៍របស់កម្មវិធីរុករកបណ្តាលឱ្យវាប្តូរទៅជាឥរិយាបថមិនល្អ។

លើសពីនេះ ផ្នែកបន្ថែមអាចរៀបចំការវាយប្រហាររបស់សត្រូវនៅកណ្តាល (AitM) ដើម្បីសម្រួលដល់ការលួចអត្តសញ្ញាណ ការលួចចូលវគ្គ និងការចាក់លេខកូដតាមអំពើចិត្តទៅក្នុងគេហទំព័រណាមួយ។

សកម្មភាពនេះបានផ្លាស់ប្តូរទៅដំណាក់កាលចុងក្រោយ នៅពេលដែលផ្នែកបន្ថែមចំនួនប្រាំផ្សេងទៀតដែលបានបោះពុម្ពផ្សាយប្រហែលឆ្នាំ ២០២៣ ទៅកាន់មជ្ឈមណ្ឌល Microsoft Edge Addons រួមទាំង WeTab បានទាញយកអត្ថប្រយោជន៍ពីមូលដ្ឋានដំឡើងដ៏ធំរបស់ខ្លួន ដើម្បីអាចឱ្យមានការឃ្លាំមើលយ៉ាងទូលំទូលាយ រួមទាំងការប្រមូល URL នីមួយៗដែលបានចូលមើល សំណួរស្វែងរក ការចុចកណ្ដុរ ខូគី និងស្នាមម្រាមដៃរបស់កម្មវិធីរុករក។

ពួកវាក៏ភ្ជាប់មកជាមួយនឹងសមត្ថភាពក្នុងការប្រមូលព័ត៌មានអំពីរបៀបដែលជនរងគ្រោះធ្វើអន្តរកម្មជាមួយទំព័របណ្ដាញ ដូចជាពេលវេលាដែលចំណាយក្នុងការមើលវា និងឥរិយាបថរមូរ។ ផ្នែកបន្ថែម WeTab នៅតែអាចទាញយកបាននៅពេលសរសេរ។

ការរកឃើញនេះបង្ហាញពីរូបភាពនៃយុទ្ធនាការដ៏យូរអង្វែងមួយ ដែលបានកើតឡើងក្នុងរយៈពេលបួនដំណាក់កាលផ្សេងគ្នា ដោយប្រែក្លាយផ្នែកបន្ថែមកម្មវិធីរុករកពីឧបករណ៍ស្របច្បាប់ទៅជាកម្មវិធីចារកម្មប្រមូលទិន្នន័យបន្តិចម្តងៗ។ ទោះជាយ៉ាងណាក៏ដោយ វាគួរឱ្យកត់សម្គាល់ថា វាមិនច្បាស់ទេថាតើអ្នកវាយប្រហារបានបំប៉ោងការទាញយកដោយសិប្បនិម្មិត ដើម្បីផ្តល់ឱ្យពួកគេនូវការបំភាន់នៃភាពស្របច្បាប់ឬអត់។

អ្នកប្រើប្រាស់ដែលបានដំឡើងផ្នែកបន្ថែមត្រូវបានណែនាំឱ្យលុបវាចេញភ្លាមៗ និងបង្វិលព័ត៌មានសម្គាល់របស់ពួកគេចេញដោយការប្រុងប្រយ័ត្នយ៉ាងខ្លាំង។

លោក Koi បាននិយាយថា "យន្តការធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ - ដែលត្រូវបានរចនាឡើងដើម្បីរក្សាសុវត្ថិភាពអ្នកប្រើប្រាស់ - បានក្លាយជាវ៉ិចទ័រវាយប្រហារ"។ "បំពង់ធ្វើបច្ចុប្បន្នភាពដែលទុកចិត្តរបស់ Chrome និង Edge បានបញ្ជូនមេរោគទៅអ្នកប្រើប្រាស់ដោយស្ងាត់ៗ។ គ្មានការបន្លំ។ គ្មានវិស្វកម្មសង្គមទេ។ គ្រាន់តែផ្នែកបន្ថែមដែលទុកចិត្តជាមួយនឹងការកើនឡើងនៃកំណែស្ងាត់ៗ ដែលបានប្រែក្លាយឧបករណ៍ផលិតភាពទៅជាវេទិកាឃ្លាំមើល"។

"ភាពជោគជ័យរបស់ ShadyPanda មិនមែនគ្រាន់តែជាភាពស្មុគស្មាញខាងបច្ចេកទេសនោះទេ។ វានិយាយអំពីការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដូចគ្នាជាប្រព័ន្ធរយៈពេលប្រាំពីរឆ្នាំ៖ ទីផ្សារពិនិត្យផ្នែកបន្ថែមនៅពេលដាក់ស្នើ។ ពួកគេមិនមើលអ្វីដែលកើតឡើងបន្ទាប់ពីការអនុម័តទេ"។