Een risicogids voor browserextensies na de ShadyPanda-campagne

Cyberbeveiliging
Een risicogids voor browserextensies na de ShadyPanda-campagne

Begin december 2025 brachten beveiligingsonderzoekers een cybercriminaliteitscampagne aan het licht die stilletjes op grote schaal populaire Chrome- en Edge-browserextensies had gekaapt.

Een dreigingsgroep met de naam ShadyPanda heeft zeven jaar lang het lange spel gespeeld, door onschuldige extensies te publiceren of aan te schaffen, ze jarenlang schoon te laten draaien om vertrouwen op te bouwen en miljoenen installaties te verkrijgen, om ze vervolgens via stille updates plotseling om te zetten in malware. In totaal installeerden ongeveer 4,3 miljoen gebruikers deze ooit legitieme add-ons, die plotseling bedrieglijk werden met spyware en achterdeurmogelijkheden.

Deze tactiek was in wezen een aanval op de supply chain van browserextensies.

De ShadyPanda-operators hebben voor sommige extensies zelfs aanbevolen en geverifieerde badges verdiend in de officiële Chrome Web Store en Microsoft Edge Add-ons-site, wat het vertrouwen van de gebruiker versterkt. Omdat extensie-updates automatisch op de achtergrond plaatsvinden, konden de aanvallers kwaadaardige code naar buiten duwen zonder dat gebruikers er iets van merkten.

Eenmaal geactiveerd medio 2024, werden de gecompromitteerde extensies een volwaardig RCE-framework (Remote Code Execution) in de browser. Ze konden willekeurig JavaScript downloaden en uitvoeren met volledige toegang tot de gegevens en mogelijkheden van de browser. Dit gaf de aanvallers een scala aan spyware-mogelijkheden, van het monitoren van elke URL en toetsaanslag, tot het injecteren van kwaadaardige scripts in webpagina’s, tot het exfiltreren van browsergegevens en inloggegevens.

Een van de ergste mogelijkheden was diefstal van sessiecookies en tokens, waarbij de authenticatietokens werden gestolen die websites gebruiken om gebruikers ingelogd te houden. De extensies konden zelfs volledige SaaS-accounts nabootsen (zoals Microsoft 365 of Google Workspace) door die sessietokens te kapen.

Waarom browserextensies een SaaS-beveiligingsnachtmerrie zijn

Voor SaaS-beveiligingsteams laat de campagne van ShadyPanda ons veel zien. Het bewees dat een kwaadaardige browserextensie effectief een indringer kan worden met sleutels tot het SaaS-koninkrijk van uw bedrijf. Als een extensie de sessiecookie of het token van een gebruiker ophaalt, kan deze de accounts van die gebruiker ontgrendelen in Slack, Salesforce of een andere webservice waarbij deze is ingelogd.

In dit geval hadden miljoenen gestolen sessietokens kunnen leiden tot ongeoorloofde toegang tot zakelijke e-mails, bestanden, chatberichten en meer, allemaal zonder de gebruikelijke beveiligingsalarmen te activeren. Traditionele identiteitsverdedigingen zoals MFA werden omzeild, omdat de browsersessie al was geverifieerd en de extensie daarop meeliftte.

Het risico reikt verder dan alleen de individuele gebruiker. Veel organisaties staan ​​werknemers toe browserextensies vrijelijk te installeren, zonder toezicht op andere software. Browserextensies glippen er vaak zonder toezicht doorheen, maar hebben toch toegang tot cookies, lokale opslag, cloud-authenticatiesessies, actieve webinhoud en bestandsdownloads.

Hierdoor vervaagt de grens tussen eindpuntbeveiliging en cloudbeveiliging. Een kwaadaardige extensie kan op het apparaat van de gebruiker worden uitgevoerd (een eindpuntprobleem), maar brengt rechtstreeks cloudaccounts en -gegevens in gevaar (een identiteits-/SaaS-probleem). ShadyPanda laat levendig de noodzaak zien om een ​​brug te slaan tussen eindpunt- en SaaS-identiteitsverdediging: beveiligingsteams moeten nadenken over het behandelen van de browser als een verlengstuk van het SaaS-aanvalsoppervlak.

Stappen om het risico van browserextensies te verminderen

Wat kunnen organisaties op basis van dit alles doen om het risico op een nieuwe ShadyPanda-situatie te verkleinen? Hieronder vindt u een praktische gids met stappen om uw verdediging tegen kwaadaardige browserextensies te versterken.

1. Dwing lijsten met toegestane extensies en beheer af

Begin met het terugwinnen van de controle over welke extensies in uw omgeving kunnen worden uitgevoerd. Voer een audit uit van alle extensies die in de browsers van het bedrijf zijn geïnstalleerd (zowel door het bedrijf beheerde als BYOD indien mogelijk) en verwijder alle extensies die onnodig, niet gecontroleerd of met een hoog risico zijn.

Het is verstandig om zakelijke rechtvaardiging te eisen voor extensies die brede machtigingen nodig hebben (bijvoorbeeld elke add-on die alle websitegegevens kan lezen). Gebruik zakelijke browserbeheertools om een ​​acceptatielijst te implementeren, zodat alleen goedgekeurde extensies kunnen worden geïnstalleerd. Dit beleid zorgt ervoor dat nieuwe of onbekende extensies standaard worden geblokkeerd, waardoor de lange staart van willekeurige installaties wordt voorkomen.

Houd er rekening mee dat populaire extensies niet automatisch veilig zijn. De malware van ShadyPanda verstopte zich in populaire, vertrouwde extensies die mensen al jaren gebruikten. Behandel alle extensies als schuldig totdat hun onschuld bewezen is door ze te controleren via het goedkeuringsproces van uw beveiligingsteam.

2. Behandel extensietoegang als OAuth-toegang

Verander uw manier van denken om browserextensies op dezelfde manier te behandelen als cloud-apps van derden wat betreft de toegang die ze verlenen. In de praktijk betekent dit dat u het toezicht op extensies moet integreren in uw identiteits- en toegangsbeheerprocessen.

Net zoals u een catalogus met geautoriseerde OAuth-integraties kunt bijhouden, doet u hetzelfde voor extensies. Breng in kaart op welke SaaS-gegevens of acties een extensie betrekking kan hebben. Als een extensie bijvoorbeeld al het webverkeer kan lezen, kan deze ook effectief uw SaaS-applicatiegegevens lezen tijdens de overdracht; als het cookies kan lezen, kan het zich voordoen als de gebruiker van elke dienst.

Omdat kwaadaardige extensies sessietokens kunnen stelen, moeten uw identiteitsbeveiligingstools letten op tekenen van sessiekaping: configureer waarschuwingen voor bizarre inlogpatronen, zoals een OAuth-token dat vanaf twee verschillende locaties wordt gebruikt, of een toegangspoging die MFA-controles omzeilt.

Het belangrijkste punt is om extensies met dezelfde voorzichtigheid te beheren als elke app die toegang heeft gekregen tot uw gegevens. Beperk waar mogelijk de machtigingen voor extensies, en als een medewerker het bedrijf verlaat of van functie verandert, zorg er dan voor dat extensies met een hoog risico worden verwijderd, net zoals u onnodige app-toegang zou intrekken.

3. Controleer regelmatig de machtigingen voor extensies

Maak de beoordeling van extensies een terugkerend onderdeel van uw beveiligingsprogramma, vergelijkbaar met driemaandelijkse toegangsbeoordelingen of app-beoordelingen. Inventariseer elke paar maanden de extensies en hun machtigingen die in uw organisatie worden gebruikt.

Let op tot welke gegevens of browserfuncties elke extensie toegang heeft. Vraag bij elke verlenging: hebben we dit nog nodig? Heeft het nieuwe machtigingen aangevraagd? Is de ontwikkelaar of eigenaar veranderd?

Aanvallers kopen vaak goedaardige extensies uit of introduceren nieuwe beheerders voordat ze slechte updates pushen. Door de uitgever van de extensie en de updategeschiedenis te bekijken, kunt u waarschuwingssignalen opmerken.

Let ook op elke extensie die plotseling om bredere machtigingen vraagt ​​dan voorheen. Dat is een aanwijzing dat deze mogelijk kwaadaardig is geworden.

4. Controleer op verdacht extensiegedrag

Omdat browsers extensies meestal stilzwijgend automatisch updaten, kan een vertrouwde add-on van de ene op de andere dag schadelijk worden zonder duidelijke waarschuwing voor de gebruiker. Beveiligingsteams moeten daarom monitoring implementeren om stille compromissen op te sporen.

Dit kunnen technische maatregelen en aanwijzingen voor gebruikersbewustzijn omvatten.

Wat de technische kant betreft, kunt u overwegen de activiteiten van extensies vast te leggen en te analyseren: controleer bijvoorbeeld de installaties van browserextensies, updategebeurtenissen of ongebruikelijke netwerkoproepen van extensies (zoals frequente communicatie met onbekende externe domeinen).

Sommige organisaties inspecteren browserlogboeken of gebruiken eindpuntagenten om te signaleren of de bestanden van een extensie onverwachts veranderen. Indien mogelijk kunt u uitbreidingsupdates beperken of faseren, bijvoorbeeld door updates op een subset van machines te testen voordat deze breed worden geïmplementeerd.

Aan de gebruikerskant moet u werknemers leren om te rapporteren als een extensie die al langere tijd is geïnstalleerd, zich plotseling anders gaat gedragen (nieuwe wijzigingen in de gebruikersinterface, onverwachte pop-ups of prestatieproblemen kunnen wijzen op een kwaadaardige update). Het doel is om de periode tussen het mislukken van een extensie en het moment dat uw team deze detecteert en verwijdert, te verkorten.

Het overbruggen van eindpunt- en SaaS-beveiliging (hoe Reco kan helpen)

Het ShadyPanda-incident laat zien dat aanvallers niet altijd zero-day exploits nodig hebben om onze systemen te infiltreren; soms hebben ze gewoon geduld, gebruikersvertrouwen en een over het hoofd geziene browserextensie nodig. Voor beveiligingsteams is het een les dat browserextensies deel uitmaken van uw aanvalsoppervlak.

De browser is in feite een eindpunt dat zich tussen uw gebruikers en uw SaaS-applicaties bevindt. Het is dus belangrijk om extensiebeheer en -monitoring in uw algemene beveiligingsstrategie op te nemen. Door acceptatielijsten af ​​te dwingen, machtigingen te controleren, updates te controleren en extensies te behandelen als de krachtige apps van derden, kunt u het risico dat een extensie uw zwakste schakel wordt, drastisch verminderen.

Bedenk ten slotte hoe moderne SaaS-beveiligingsplatforms deze inspanningen kunnen ondersteunen.

Nieuwe oplossingen, zoals dynamische SaaS-beveiligingsplatforms, komen naar voren om organisaties te helpen grip te krijgen op dit soort risico’s. Het Dynamic SaaS Security-platform van Reco is ontworpen om het SaaS-gebruik (inclusief risicovolle verbonden apps en extensies) continu in kaart te brengen en te monitoren en identiteitsgestuurde detectie van bedreigingen te bieden.

Met het juiste platform kunt u uniform inzicht krijgen in extensies in uw omgeving en in realtime verdachte activiteiten detecteren. Reco kan helpen de kloof tussen het eindpunt en de cloud te overbruggen door risico’s aan de browserzijde te correleren met het gedrag van SaaS-accounts, waardoor beveiligingsteams een samenhangende verdediging krijgen. Door deze proactieve stappen te nemen en tools als Reco in te zetten om uw SaaS-beveiliging te automatiseren en te schalen, kunt u de volgende ShadyPanda een stap voor blijven.

Vraag een demo aan: ga aan de slag met Reco.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Gal Nakash, medeoprichter en CPO van Reco. Gal is een voormalige luitenant-kolonel in het kabinet van de Israëlische premier. Hij is een tech-liefhebber met een achtergrond als beveiligingsonderzoeker en hacker. Gal heeft teams geleid op meerdere cyberbeveiligingsgebieden, met expertise op het menselijke vlak.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Translate krijgt Gemini-upgrade met slimmere, natuurlijkere vertalingen

De AI-modus van Google zorgt voor vloeiendere en expressievere live zoekgesprekken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]