Eine Browser-Erweiterung funktioniert jahrelang unauffällig und erhält gute Bewertungen. Dann kommt ein Update und macht sie zum Spion. Der Fall ShadyPanda zeigt, dass Angreifer keine Sicherheitslücken mehr brauchen, wenn sie die Architektur des Browsers selbst nutzen können.
Der Bedrohungsakteur ShadyPanda infizierte über Jahre Millionen Browser über manipulierte Erweiterungen. Angreifer nutzen die Browser-Architektur selbst statt Sicherheitslücken.
ShadyPanda ist kein klassischer Hackerangriff. Keine Zero-Day-Lücke, kein Exploit, kein Schadcode, der sich gewaltsam einnistet. Die Kampagne nutzte etwas weit Gefährlicheres: die Architektur moderner Browser.
Sicherheitsforscher von Koi Research und der Experte Tuval Admoni deckten eine über Jahre laufende Operation auf, die Geduld über Geschwindigkeit stellte. Erweiterungen wurden regulär in offiziellen Stores veröffentlicht und sie funktionierten. Tatsächlich erhielten sie auch gute Bewertungen und Verifizierungsabzeichen. Und sie blieben über Jahre hinweg unauffällig.
Dann kam ein Update.
Mit einer neuen Version änderte sich das Verhalten abrupt. Die zuvor harmlose Erweiterung begann, Daten abzugreifen, Suchanfragen umzuleiten, Sitzungen zu überwachen und mit externer Infrastruktur zu kommunizieren. Technisch gesehen geschah nichts Verbotenes. Alles bewegte sich im Rahmen der vorgesehenen Funktionen der Browser-Architektur. Der Angriff versuchte nicht die Sicherheitsmaßnahmen zu umgehen, sondern nutzte sie stattdessen.
Technische Phasen einer Architecture-Aligned Browser-Attacke.
(Bild: Island)
Der Begriff “architecture aligned attack” beschreibt einen Strategiewechsel. Angreifer suchen nicht mehr nach Schwachstellen im Code. Sie nutzen die Funktionslogik selbst.
Im Fall ShadyPanda war es vor allem der offizielle Update Prozess. Erweiterungen aktualisieren sich automatisch. Nutzer müssen nicht mehr zustimmen, solange keine neuen Berechtigungen hinzukommen. Genau hier setzte die Kampagne an.
Hinzu kam dynamisch nachgeladener Code. Die Erweiterung lud nach der Installation JavaScript von einem externen Server nach. Dadurch blieb der schädliche Teil bei der ursprünglichen Store Prüfung unsichtbar.
Auch sogenannte Service Worker spielten eine Rolle. Diese Standardfunktion von Browsern ermöglicht Hintergrundprozesse, etwa um Inhalte offline verfügbar zu machen oder Anfragen im Hintergrund zu verarbeiten. In diesem Fall wurde sie missbraucht, um unbemerkt Netzwerkverkehr abzufangen, Cookies auszulesen, Sitzungsinformationen zu extrahieren und sogar Suchanfragen umzuleiten – ohne dass Nutzer eine sichtbare Veränderung bemerkten.
All diese Funktionen sind eigentlich legitim vorgesehen. Genau das machte ihren Einsatz als Teil eines Angriffs so schwer zu erkennen.
Bemerkenswert ist die Eskalation. Die ersten Manipulationen dienten offenbar dem Affiliate Betrug. Suchanfragen wurden umgeleitet, Provisionen abgegriffen. Erst später folgte die Möglichkeit zur Remote Code Execution, also zur Ausführung von Code aus der Ferne auf den betroffenen Systemen. Die Erweiterung kontaktierte regelmäßig eine Command and Control Infrastruktur und lud dort neue Befehle.
So entstand eine flexible Plattform, die sich jederzeit anpassen ließ. Ein erneutes Store Update war nicht mehr nötig.
Die Malware prüfte zudem, ob Entwicklerwerkzeuge geöffnet waren. Wurde eine Analyse vermutet, stoppte sie ihre Aktivität. Tarnung statt Angriffslärm.
Nun könnte man sagen: Wieder nur eine von vielen Angriffen. Also warum ist das relevant für Unternehmen? Weil sich Arbeit verlagert hat. Anwendungen laufen im Browser. Identitäten werden dort direkt geprüft und Daten dort verarbeitet.
Gleichzeitig wächst das Ökosystem der Erweiterungen rasant. Insbesondere Kategorien wie KI Werkzeuge, VPN Dienste und Passwortmanager dominieren neue Features. Diese Werkzeuge benötigen weitreichende Berechtigungen. Sie dürfen Inhalte lesen und verändern, auf Sitzungsdaten zugreifen und mit externen Diensten kommunizieren.
Das Problem ist kein Fehler im Browser. Es ist ein Zielkonflikt. Verbraucherbrowser optimieren Offenheit, Innovation und Reichweite. Unternehmen benötigen Kontrolle, Transparenz und Durchsetzung von Richtlinien. Diese beiden Missionen überschneiden sich kaum.
Viele Sicherheitslösungen arbeiten außerhalb des Browsers. Proxy Systeme, Netzwerk Filter oder Endpoint Agenten sehen verschlüsselten Datenverkehr, aber sie sehen nicht, was innerhalb der Sitzung geschieht.
Eine Erweiterung operiert im Inneren des Browsers, mit legitimen Rechten. Sie kann Daten kopieren, Formulare auslesen oder Token stehlen, ohne dass ein externer Sensor eingreift. ShadyPanda zeigt, dass diese Lücke real ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Neue Antworten auf alte Prinzipien
Die Diskussion um sogenannte Enterprise Browser gewinnt daher an Bedeutung. Gemeint sind Browser-Umgebungen, die Sicherheitsfunktionen direkt integrieren.
Zentrale Elemente sind die kontinuierliche Bewertung von Erweiterungen und deren Verhaltensänderungen, kontextabhängige Richtlinien (abhängig von Nutzerrolle, Anwendung oder Standort), Transparenz über Datenbewegungen wie Kopieren, Hochladen oder Download sowie die klare Durchsetzung von Daten Grenzen innerhalb sensibler Anwendungen.
Der Ansatz verschiebt Kontrolle dorthin, wo das Risiko entsteht: in den Browser selbst.
ShadyPanda ist kein Einzelfall, sondern ein Signal. Angreifer denken langfristig. Sie warten. Sie nutzen reguläre Prozesse. Sie bauen Vertrauen auf, bevor sie es ausnutzen.
Für Unternehmen bedeutet das, den Browser nicht länger als neutrales Werkzeug zu betrachten. Er ist Arbeitsumgebung, Identitätsdrehscheibe und Datenraum zugleich.
Sicherheit muss dort beginnen, wo gearbeitet wird.
Über den Autor: Lennart Uden ist Sales DACH bei Island.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/f6/fbf66d9b9550730336edaa16fd72ad2d/0130917276v2.jpeg "Der Bedrohungsakteur ShadyPanda infizierte über Jahre Millionen Browser über manipulierte Erweiterungen. Angreifer nutzen die Browser-Architektur selbst statt Sicherheitslücken. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/19/ec193e724f3a0736c67813e82bc1304f/0130929419v1.jpeg "Im unveränderlichen BootROM bestimmter Qualcomm‑Chipsätze befindet sich eine Sicherheitslücke, die Angreifern das Einschleusen beliebigen Codes ermöglicht und im schlimmsten Fall zur vollständigen Übernahme des betroffenen Systems führt. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/4f/f64f6d110cdae3a798edcfbd4613ed58/0130735335v1.jpeg "Experten aus aller Welt erwarten viele, rasch aufeinander folgende Wellen von mit KI-entdeckten Sicherheitslücken, die Cyberkriminelle ausnutzen werden. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/40/f8/40f89f374d9fc9a77fa03a28acc418d0/0126340017v2.jpeg "SPD und CDU wollen zeitnah ein Gesetz zur Vorratsdatenspeicherung auf den Weg bringen – dies wurde bisher vom Europäischen Gerichtshof immer wieder blockiert. Nun läuft eine EU-weite Initiative, die einen einheitlichen Rechtsrahmen für die Datenspeicherung schaffen soll. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/fa/2dfad7bb9824c7d68ab0641b0fb50568/0129576026v1.jpeg "Glarysoft File Recovery kann verloren geglaubte Dateien wiederherstellen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/e3/42e39eb6475344a36247c4192b33afec/0130920701v1.jpeg "Die Sicherheitslücke EUVD-2026-24742 / CVE-2026-41651 betrifft auch PackageKit-Versionen von vor zwölf Jahre. Somit ist die Angriffsfläche enorm groß. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/56/dc56436ba821e4c90c9aecf053517801/0130379749v1.jpeg "Noch weiß niemand, wann der Q-Day sein wird. Die dann drohenden Gefahren hingegen sind bekannt. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/8b/31/8b31de571af974932fb20cd03ce84a85/0130807903v2.jpeg "UCC hat sich vom Meeting-Tool zur kritischen Infrastruktur entwickelt. Sicherheit muss deshalb über den gesamten Lebenszyklus gedacht werden, nicht als nachträgliches Add-on. (Bild: © zorandim75 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/2b/f42b0456ab068cdc722e6cefd4c30479/0130824019v2.jpeg "Die Schwachstelle EUVD-2026-19588 / CVE-2026-34197 betrifft den Apache ActiveMQ Broker in den Versionen vor 5.19.4 sowie von 6.0.0 bis einschließlich 6.2.2. Auch Apache ActiveMQ ist betroffen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/4f/194f7a7aacc5be512137e9903e7b9393/0130719515v2.jpeg "Für Zero Networks sind das Blockieren lateraler Bewegung sowie regulierter Zugriff und die schnelle Eindämmung von Bedrohungen besonders relevant, um NIS 2 umzusetzen. (Bild: © Sabbir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/53/25536c0bb262a7ac94848efaaf7d88d4/0130457223v2.jpeg "Deepfakes können heute mit hoher Wahrscheinlichkeit identifiziert werden. Vor Gericht kann es dennoch Probleme geben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/52/c4526444911a1e496bc113813291c6be/0130586130v1.jpeg "Die rasante Entwicklung KI-gestützter Manipulationen erschwert die sichere Unterscheidung zwischen Deepfake und echten Medien. In einer Umfrage des TÜV gaben ein Viertel der Befragten an, schon einmal auf KI-generierte Inhalte „hereingefallen“ zu sein. (Bild: © LORD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d8/e8d851d1fc5247a79b153333164751e0/0130563051v1.jpeg "In europäischen Unternehmen ist digitale Souveränität mittlerweile ein Thema auf Vorstandsebene. (Bild: © Raisa – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/03/e8/03e84add89071cc5a6bdbdd3787c4a70/0128608676v2.jpeg "Mehrere Browser-Erweiterungen für Chrome und Edge sammeln heimlich KI-Prompts samt Antworten und senden sie komprimiert an Analytics-Server – ohne Opt-out-Möglichkeit für die Nutzer. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/ed/38edec46dfb095b9f402865fe15d1c1c/0130667532v2.jpeg "Die Publisher Yana Project, GameGen, SideGames, Rodeo Games und InterAlt verbreiten im Chrome Web Store gefährliche Browser-Erweiterungen, die Daten abzapfen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2c/ed/2cedc03f464b8d266aa49618e232ff86/0124912592v1.jpeg "In Kombination mit SSE wird der Enterprise Browser zum sicheren Sandkasten für BYOD: ein abgeschotteter Raum, in dem sensible Daten geschützt verarbeitet, aber nicht herausgeschleust werden können – ideal für moderne Zugriffsszenarien. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/db/6a/db6a99e7f03fe54757feac3b1ac5be03/0121060579v1.jpeg "Obwohl Mozialla als datenschutzfreundliche Alternative zu anderen Browsern gilt, hat Noyb nun Beschwerde bei der österreichischen Datenschutzbehörde eingereicht (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/15/491526396c84a7c0a953767b933eaeb5/0125189237v1.jpeg "Laut Sicherheitsforschern nutzen Meta (Facebook) und Yandex eine Lücke in Androids Sicherheitsarchitektur aus, um Web- und App-Identitäten heimlich zusammenzuführen und so detaillierte Surf-Profile zu erstellen. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/e8/03e84add89071cc5a6bdbdd3787c4a70/0128608676v2.jpeg "Mehrere Browser-Erweiterungen für Chrome und Edge sammeln heimlich KI-Prompts samt Antworten und senden sie komprimiert an Analytics-Server – ohne Opt-out-Möglichkeit für die Nutzer. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/ed/38edec46dfb095b9f402865fe15d1c1c/0130667532v2.jpeg "Die Publisher Yana Project, GameGen, SideGames, Rodeo Games und InterAlt verbreiten im Chrome Web Store gefährliche Browser-Erweiterungen, die Daten abzapfen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")