Aralık 2025’in başlarında güvenlik araştırmacıları, popüler Chrome ve Edge tarayıcı uzantılarını büyük ölçekte sessizce ele geçiren bir siber suç kampanyasını açığa çıkardı.
ShadyPanda adlı bir tehdit grubu, yedi yıl boyunca bu uzun oyunu oynayarak, zararsız uzantılar yayınlayarak veya satın alarak, güven oluşturmak ve milyonlarca yükleme elde etmek için bu uzantıların yıllarca temiz çalışmasına izin verdi ve ardından bunları aniden sessiz güncellemeler yoluyla kötü amaçlı yazılıma dönüştürdü. Toplamda yaklaşık 4,3 milyon kullanıcı, bir zamanlar meşru olan ve aniden casus yazılım ve arka kapı yetenekleriyle hileli hale gelen bu eklentileri yükledi.
Bu taktik aslında bir tarayıcı uzantısı tedarik zinciri saldırısıydı.
ShadyPanda operatörleri, bazı uzantılar için resmi Chrome Web Mağazası ve Microsoft Edge Eklentileri sitesinde öne çıkan ve doğrulanan rozetler bile kazanarak kullanıcının güvenini artırdı. Uzantı güncellemeleri arka planda otomatik olarak gerçekleştiği için saldırganlar, kullanıcılar hiçbir şey fark etmeden kötü amaçlı kodları yaymayı başardı.
Güvenliği ihlal edilen uzantılar, 2024 yılının ortalarında etkinleştirildikten sonra tarayıcının içinde tam teşekküllü bir uzaktan kod yürütme (RCE) çerçevesi haline geldi. Tarayıcının verilerine ve yeteneklerine tam erişimle rastgele JavaScript indirip çalıştırabilirler. Bu, saldırganlara her URL’yi ve tuş vuruşunu izlemekten, web sayfalarına kötü amaçlı komut dosyaları yerleştirmeye, tarama verilerini ve kimlik bilgilerini sızdırmaya kadar çeşitli casus yazılım güçleri kazandırdı.
En kötü yeteneklerden biri, web sitelerinin kullanıcıların oturum açmasını sağlamak için kullandığı kimlik doğrulama belirteçlerinin çalınması olan oturum çerezi ve belirteç hırsızlığıydı. Uzantılar, bu oturum belirteçlerini ele geçirerek tüm SaaS hesaplarının (Microsoft 365 veya Google Workspace gibi) kimliğine bile bürünebilir.
Tarayıcı Uzantıları Neden Bir SaaS Güvenlik Kabusu?
SaaS güvenlik ekipleri için ShadyPanda’nın kampanyası bize çok şey gösteriyor. Bu, kötü amaçlı bir tarayıcı uzantısının, şirketinizin SaaS krallığının anahtarlarına sahip bir davetsiz misafir haline gelebileceğini kanıtladı. Bir uzantı, bir kullanıcının oturum çerezini veya jetonunu ele geçirirse, bu kullanıcının Slack, Salesforce veya oturum açtığı herhangi bir web hizmetindeki hesaplarının kilidini açabilir.
Bu durumda, milyonlarca çalınan oturum belirteci, olağan güvenlik alarmlarını tetiklemeden kurumsal e-postalara, dosyalara, sohbet mesajlarına ve daha fazlasına yetkisiz erişime yol açabilirdi. MFA gibi geleneksel kimlik savunmaları atlandı çünkü tarayıcı oturumu zaten doğrulanmıştı ve uzantı onu destekliyordu.
Risk yalnızca bireysel kullanıcının ötesine uzanır. Birçok kuruluş, çalışanların tarayıcı uzantılarını diğer yazılımlara uygulanan incelemeye gerek kalmadan serbestçe yüklemelerine izin verir. Tarayıcı uzantıları sıklıkla gözden kaçar, ancak çerezlere, yerel depolamaya, bulut kimlik doğrulama oturumlarına, etkin web içeriğine ve dosya indirme işlemlerine erişebilirler.
Bu, uç nokta güvenliği ile bulut güvenliği arasındaki çizgiyi bulanıklaştırır. Kullanıcının cihazında kötü amaçlı bir uzantı çalıştırılabilir (bir uç nokta sorunu), ancak doğrudan bulut hesaplarını ve verilerini tehlikeye atar (bir kimlik/SaaS sorunu). ShadyPanda, uç nokta ile SaaS kimlik savunması arasında köprü kurma ihtiyacını canlı bir şekilde gösteriyor: güvenlik ekipleri, tarayıcıyı SaaS saldırı yüzeyinin bir uzantısı olarak ele almayı düşünmelidir.
Tarayıcı Uzantısı Riskini Azaltma Adımları
Peki tüm bunlara dayanarak kuruluşlar başka bir ShadyPanda durumu riskini azaltmak için ne yapabilir? Aşağıda, kötü amaçlı tarayıcı uzantılarına karşı savunmanızı sıkılaştırmaya yönelik adımların yer aldığı pratik bir kılavuz bulunmaktadır.
1. Uzantı İzin Listelerini ve Yönetişimi Zorunlu Hale Getirin
Ortamınızda hangi uzantıların çalışabileceği konusunda kontrolü yeniden ele alarak başlayın. Şirketin tarayıcılarında yüklü olan tüm uzantıları (mümkünse hem kurumsal olarak yönetilen hem de BYOD) denetleyin ve gereksiz, incelenmemiş veya yüksek riskli olanları kaldırın.
Geniş izinlere ihtiyaç duyan uzantılar (örneğin, tüm web sitesi verilerini okuyabilen herhangi bir eklenti) için iş gerekçesi talep etmek akıllıca olacaktır. Yalnızca onaylı uzantıların yüklenebilmesini sağlayacak bir izin verilenler listesi uygulamak için kurumsal tarayıcı yönetimi araçlarını kullanın. Bu politika, yeni veya bilinmeyen uzantıların varsayılan olarak engellenmesini sağlayarak rastgele yüklemelerin uzun kuyruğunu ortadan kaldırır.
Popüler uzantıların otomatik olarak güvenli olmadığını, ShadyPanda’nın kötü amaçlı yazılımlarının insanların yıllardır kullandığı popüler, güvenilir uzantıların içinde saklandığını unutmayın. Güvenlik ekibinizin onay süreci aracılığıyla inceleyerek masum oldukları kanıtlanana kadar tüm uzantılara suçlu muamelesi yapın.
2. Uzantı Erişimini OAuth Erişimi Gibi Değerlendirin
Tarayıcı uzantılarını, sağladıkları erişim açısından üçüncü taraf bulut uygulamalarına benzer şekilde ele alacak şekilde zihniyetinizi değiştirin. Uygulamada bu, uzantı gözetimini kimlik ve erişim yönetimi süreçlerinize entegre etmek anlamına gelir.
Yetkili OAuth entegrasyonlarının bir kataloğunu tuttuğunuz gibi, uzantılar için de aynısını yapın. Bir uzantının hangi SaaS verilerinin veya eylemlerinin dokunabileceğinin haritasını çıkarın; örneğin, bir uzantı tüm web trafiğini okuyabiliyorsa, aktarım sırasında SaaS uygulama verilerinizi etkili bir şekilde okuyabilir; Çerezleri okuyabiliyorsa herhangi bir hizmette kullanıcının kimliğine bürünebilir.
Kötü amaçlı uzantılar oturum belirteçlerini çalabileceğinden, kimlik güvenliği araçlarınız oturumun ele geçirilmesine ilişkin işaretleri izlemelidir: iki farklı konumdan kullanılan bir OAuth belirteci veya MFA kontrollerini atlayan bir erişim girişimi gibi tuhaf oturum açma kalıpları için uyarıları yapılandırın.
Önemli olan, uzantıları, verilerinize erişim izni verilen herhangi bir uygulamayla aynı dikkatle yönetmektir. Mümkün olduğunda uzantı izinlerini sınırlayın ve bir çalışanın şirketten ayrılması veya rol değiştirmesi durumunda, tıpkı gereksiz uygulama erişimini iptal ettiğiniz gibi, yüksek riskli uzantıların da kaldırıldığından emin olun.
3. Uzatma İzinlerini Düzenli Olarak Denetleyin
Üç aylık erişim incelemelerine veya uygulama değerlendirmelerine benzer şekilde, uzantı incelemesini güvenlik programınızın yinelenen bir parçası haline getirin. Birkaç ayda bir, kuruluşunuz genelinde kullanılan uzantıların ve izinlerinin envanterini çıkarın.
Her uzantının hangi verilere veya tarayıcı özelliklerine erişebileceğine dikkat edin. Her uzantı için şunu sorun: Buna hâlâ ihtiyacımız var mı? Yeni izinler istedi mi? Geliştiricisi veya sahibi değişti mi?
Saldırganlar genellikle kötü amaçlı olmayan uzantıları satın alır veya kötü güncellemeleri göndermeden önce yeni bakım sağlayıcıları devreye sokar. Uzantı yayıncısını ve güncelleme geçmişini inceleyerek kırmızı bayrakları görebilirsiniz.
Ayrıca, aniden eskisinden daha geniş izinler isteyen herhangi bir uzantıya karşı dikkatli olun; bu, onun kötü amaçlı bir yazılıma dönüşmüş olabileceğine dair bir ipucudur.
4. Şüpheli Uzantı Davranışını İzleyin
Tarayıcılar genellikle uzantıları sessizce otomatik olarak güncellediğinden, güvenilir bir eklenti, kullanıcıya açık bir uyarı vermeden bir gecede kötü amaçlı hale gelebilir. Bu nedenle güvenlik ekipleri sessiz uzlaşmayı yakalamak için izleme uygulamalıdır.
Bu, teknik önlemleri ve kullanıcı farkındalığı ipuçlarını içerebilir.
Teknik açıdan, uzantı etkinliğini günlüğe kaydetmeyi ve analiz etmeyi düşünün: örneğin, tarayıcı uzantısı kurulumlarını, güncelleme olaylarını veya uzantılardan gelen olağandışı ağ çağrılarını (bilinmeyen harici alan adlarıyla sık iletişim gibi) izleyin.
Bazı kuruluşlar, bir uzantının dosyalarının beklenmedik bir şekilde değişmesi durumunda işaretlemek için tarayıcı günlüklerini inceler veya uç nokta aracılarını kullanır. Mümkünse uzantı güncellemelerini kısıtlayabilir veya aşamalandırabilirsiniz (örneğin, geniş dağıtımdan önce güncellemelerin bir makine alt kümesinde test edilmesi).
Kullanıcı tarafında, çalışanları, uzun süredir yüklü olan bir uzantının aniden farklı davranmaya başlaması durumunda (yeni kullanıcı arayüzü değişiklikleri, beklenmeyen pop-up’lar veya performans sorunları, kötü amaçlı bir güncellemenin işareti olabilir) bildirmeleri konusunda eğitin. Amaç, bir uzantının kötüye gitmesi ile ekibinizin onu tespit edip kaldırması arasındaki süreyi kısaltmaktır.
Uç Nokta ile SaaS Güvenliği Arasında Köprü Kurmak (Reco Nasıl Yardımcı Olabilir)
ShadyPanda olayı, saldırganların sistemlerimize sızmak için her zaman sıfır gün açıklarına ihtiyaç duymadığını gösteriyor; Bazen sadece sabra, kullanıcı güvenine ve gözden kaçan bir tarayıcı uzantısına ihtiyaç duyarlar. Güvenlik ekipleri için tarayıcı uzantılarının saldırı yüzeyinizin bir parçası olduğu bir derstir.
Tarayıcı, kullanıcılarınız ile SaaS uygulamalarınız arasında bulunan bir uç noktadır; bu nedenle, uzantı yönetimini ve izlemeyi genel güvenlik stratejinize dahil etmek önemlidir. İzin verilenler listelerini zorunlu kılarak, izinleri denetleyerek, güncellemeleri izleyerek ve uzantılara güçlü üçüncü taraf uygulamaları gibi davranarak, bir uzantının en zayıf bağlantınız haline gelme riskini büyük ölçüde azaltabilirsiniz.
Son olarak, modern SaaS güvenlik platformlarının bu çabaları nasıl destekleyebileceğini düşünün.
Kuruluşların bu tür risklerle başa çıkmasına yardımcı olmak için dinamik SaaS güvenlik platformları gibi yeni çözümler ortaya çıkıyor. Reco’nun Dinamik SaaS Güvenliği platformu, SaaS kullanımını (riskli bağlantılı uygulamalar ve uzantılar dahil) sürekli olarak haritalamak ve izlemek ve kimlik odaklı tehdit tespiti sağlamak üzere tasarlanmıştır.
Doğru platformla ortamınızdaki uzantılara ilişkin birleşik görünürlük elde edebilir ve şüpheli etkinlikleri gerçek zamanlı olarak tespit edebilirsiniz. Reco, tarayıcı tarafındaki riskleri SaaS hesap davranışıyla ilişkilendirerek uç nokta ile bulut arasındaki boşluğu doldurmaya yardımcı olabilir ve güvenlik ekiplerine tutarlı bir savunma sağlayabilir. Bu proaktif adımları atarak ve SaaS güvenliğinizi otomatikleştirmek ve ölçeklendirmek için Reco gibi araçlardan yararlanarak bir sonraki ShadyPanda’dan bir adım önde olabilirsiniz.
Demo Talep Edin: Reco’ya Başlayın.
Not: Bu makale, Reco Kurucu Ortağı ve CPO’su Gal Nakash tarafından ustalıkla yazılmış ve katkıda bulunmuştur. Gal, İsrail Başbakanlığı’nda eski bir Yarbaydır. Güvenlik araştırmacısı ve hacker geçmişine sahip bir teknoloji meraklısıdır. Gal, insan unsurundaki uzmanlığıyla birden fazla siber güvenlik alanında ekiplere liderlik etti.