Przez siedem lat złośliwe oprogramowanie czekało na odpowiedni moment. I… się doczekało. Grupa ShadyPanda nie zastosowała phishingu ani nie wysłała fałszywych powiadomień. Wystarczyło, że publikowała rozszerzenia wyglądające jak zwykłe narzędzia do pracy, pozwalała im rosnąć w statystykach, zbierać pozytywne recenzje, a dopiero potem podmieniała kod na taki, który trudno uznać za normalny. Zainfekowano 4,3 mln ludzi, często w sposób tak dyskretny, że realne skutki trudno było zauważyć latami.
