Aralık 2025’te güvenlik araştırmacıları, popüler Chrome ve Edge tarayıcı uzantılarını büyük ölçekte ele geçiren bir siber suç kampanyasını ifşa etti. “ShadyPanda” adı verilen bu tehdit grubu, yedi yıl boyunca “uzun oyun” oynamış, zararsız uzantılar yayımlamış veya edinmiş, bu uzantıların güven kazanması ve milyonlarca yükleme alması için temiz çalışmasına izin vermişti. Ardından, bu uzantıları aniden kötü amaçlı yazılımlara dönüştürmek için sessiz güncellemelerle saldırıya geçmişlerdir. Toplamda, yaklaşık 4.3 milyon kullanıcı, bir zamanlar meşru olan bu eklentileri yüklemişti; artık kötü amaçlı bir casus yazılım ve arka kapı yetenekleri ile çalışıyordu.
Tarayıcı Uzantılarının Riskleri
ShadyPanda’nın kampanyası, tarayıcı uzantılarının SaaS güvenliği için bir kabus olabileceğini gösteriyor. Kötü niyetli bir uzantı, bir kullanıcının oturum çerezlerini veya token’larını ele geçirdiği takdirde, kullanıcının Slack, Salesforce gibi sık kullanılan web hizmetlerinde oturum açabilmesini sağlayabilir. Bu tür saldırılar, kurumsal e-postalara, dosyalara ve mesajlara yetkisiz erişim sağlamak için büyük bir risk oluşturuyor.
Birçok şirket, çalışanların tarayıcı uzantılarını serbestçe yüklemelerine izin veriyor, ancak bu durum güvenlik izni olmadan gerçekleştirilince büyük riskler doğabiliyor. Tarayıcı uzantıları, çerezlere, yerel depolama alanlarına ve aktarıma açık veriye erişim sağlayabiliyor; bu da uç nokta güvenliği ve bulut güvenliği arasındaki sınırları belirsiz hale getiriyor.
Tarayıcı Uzantı Riski Nasıl Azaltılır?
Peki, şirketler ShadyPanda benzeri bir durumla karşılaşmamak için ne tür önlemler alabilir? İşte bazı pratik adımlar:
1. Uzantı İzin Listeleme ve Yönetim Uygulama
Uzantıların kontrolünü yeniden kazanmak gerekmektedir. Şirket içindeki tarayıcılarda yüklü olan tüm uzantıların denetimini yapın ve gereksiz, onaylanmamış veya yüksek riskli olanları kaldırın. İzinleri geniş olan uzantılar için iş gerekçesi talep etmek, önemli bir adım olacaktır.
2. Uzantı Erişimini OAuth Erişimi Gibi Ele Alma
Tarayıcı uzantılarını, üçüncü taraf bulut uygulamaları gibi kabul ederek bu doğrultuda bir yaklaşım geliştirin. Uzantıların erişim izni verdiği veri veya işlemleri haritalayın. Ayrıca, kötü niyetli uzantıların oturum çerezlerini çalma olasılığına karşı dikkatli olunmalıdır.
3. Uzantı İzinlerini Düzenli Olarak Denetleme
Uzantıların incelenmesini, güvenlik programınızın sürekli bir parçası haline getirin. Her üç veya altı ayda bir, kullanılan uzantıları ve izinlerini gözden geçirin. Hangi veriye ve tarayıcı özelliklerine erişim sağladıkları önemlidir.
4. Şüpheli Uzantı Davranışını İzleme
Tarayıcılar genellikle uzantıları sessizce güncelleyerek, güvenilir bir uzantının aniden kötü niyetli hale gelmesine olanak tanır. Bu nedenle uzantıların etkinliklerini izlemek önemlidir. Örneğin, uzantı yüklemeleri ve güncellemeleri gibi olayları takip edin.
Uç Nokta ve SaaS Güvenliğini Birleştirme
ShadyPanda olayı, saldırganların sistemlerimize sızmak için her zaman sıfırıncı gün açıkları kullanmaya ihtiyaç duymadığını göstermektedir. Tarayıcı uzantılarınızı yönetmek ve izlemek, güvenlik stratejinizin bir parçası olmalıdır. Reco gibi modern SaaS güvenlik platformları, uzantıları ve bağlantılı uygulamaları sürekli izleyerek bu tür riskleri yönetmenize yardımcı olabilir.
