Дослідники виявили тривалу, семирічну кампанію, що проводилася актором загроз ShadyPanda, який перетворив популярні браузерні розширення з мільйонами встановлень на шпигунське програмне забезпечення. За допомогою прихованого механізму автоматичного оновлення розширення, яке раніше було легітимним, отримало можливість щогодини завантажувати та виконувати довільний віддалений JavaScript-код із повним доступом до браузера користувача.

Ці скомпрометовані розширення використовувалися не лише для збору даних, але й для партнерського шахрайства (affiliate fraud), непомітно впроваджуючи трекінгові коди, коли користувачі відвідували великі роздрібні платформи, як-от Amazon або eBay. Ця атака була особливо небезпечною, оскільки вона обійшла традиційні методи захисту, використовуючи довірений конвеєр оновлень Chrome та Edge. Користувачам слід критично переглянути свої встановлені розширення та віддати перевагу тим, які мають високий рівень прозорості та репутації.