Researchers found more sleeper browser extensions that spy on users and install backdoors, this time targeting Firefox users as well.

A new campaign dubbed 'GhostPoster' is hiding JavaScript code in the image logo of malicious Firefox extensions counting more than 50,000 downloads, to monitor browser activity and plant a backdoor.

GhostPoster Firefox extensions are found to hide malware within innocent-looking icons, posing a stealthy threat to browser users.

Another set of 17 malicious extensions linked to the GhostPoster campaign has been discovered in Chrome, Firefox, and Edge stores, where they accumulated a total of 840,000 installations.

Introduction: When Browser Extensions Become Silent Backdoors Browser extensions are trusted tools. They promise convenience, privacy, and productivity, quietly integrating into daily workflows with elevated permissions that users rarely question. The GhostPoster campaign breaks that trust in a subtle but alarming way. By hiding malicious JavaScript inside image files used as extension logos, attackers have demonstrated how even visual assets can be weaponized.

「GhostPoster」と呼ばれる高度なマルウェアキャンペーンが、ブラウザ拡張機能のアイコンを悪用して約5万人のFirefoxユーザーを侵害しました。 Koi Securityのセキュリティ研究者は発見しました。悪意ある攻撃者がPNGロゴファイル内に隠しマルウェアのペイロードを直接埋め込み、一見無害な視覚要素を、従来のセキュリティスキャンを回避する危険な配布メカニズムへと変えているのです。 このキャンペーンは17個のFirefox拡張機能に及び、合計インストール数は5万人を超えています。 悪意ある拡張機能の中でも「Free VPN Forever」は2025年9月からFirefox Add-onsマーケットプレイスで公開されており、1万6,000件以上のインストールを集めています。 報告時点でもこの拡張機能は公開されたままで、VPNサービス、翻訳ツール、天気予報、広告ブロッカーなどを装った多数の侵害済みアドオンと並んで存在しています。 Free VPNに関するKoidexレポート。 この攻撃ではステガノグラフィ（画像の見た目を変えずに実行コードを画像ファイル内に隠す技術）が用いられています。 Free VPN Foreverのような拡張機能が読み込まれると、自身のlogo.pngファイルを取得します。これは標準的な動作であり、セキュリティ上の警告は発生しません。 しかしその後、拡張機能は画像の生バイト列から、等号3つ（===）で構成される特定のマーカーを探します。このマーカー以降は画像データではなく、抽出・実行されるのを待つ隠しJavaScriptコードです。library​ この多段階のマルウェア構成は、ロゴが初期ローダーとして機能するところから始まります。抽出されたコードは、liveupdt[.]comまたはバックアップのdealctr[.]comにあるC&C（コマンド＆コントロール）サーバーへ接続し、実際のペイロードを取得します。 隠しペイロードを探すためにロゴのバイト列をスキャン。 このマルウェアは、サーバーへのチェックイン間隔を48時間空け、さらにペイロードを取得するのは10%の確率に限定することで、高度な回避戦術を示しています。 このランダムな挙動パターンにより、ネットワークトラフィックを監視するセキュリティ研究者が不審な活動を観測するのは極めて困難になります。感染した拡張機能は長期間にわたり静かに動作する可能性があります。library​ C&Cサーバーからペイロードが到着すると、大文字と小文字を入れ替え、8と9を交換し、その後Base64デコードを適用する独自のエンコーディング処理が行われます。 デコードされたペイロードは、拡張機能固有の実行時IDを用いてXOR暗号化され、ブラウザストレージに保存されます。これにより被害者のシステム上で永続化が確立されます。library​ 包括的なブラウザ乗っ取り 最終ペイロードは、ユーザーに気付かれないまま感染したブラウザを収益化する多面的な攻撃を実行します。 マルウェアは、TaobaoやJD.comなど主要なECプラットフォーム上のアフィリエイトリンクを傍受し、正規アフィリエイターのコミッションを攻撃者へ付け替えます。 訪問したすべてのページにGoogle Analyticsのトラッキング（ID: UA-60144933-8）を注入し、インストール日、感染期間、訪問した加盟店ネットワーク、固有のブラウザ識別子を収集します。library+1​ 特に懸念されるのは、マルウェアがHTTPレスポンスから重要なセキュリティヘッダーを積極的に削除し、クリックジャッキングやクロスサイトスクリプティング攻撃を防ぐContent-Security-PolicyおよびX-Frame-Optionsの保護を無効化する点です。 この拡張機能には複数のCAPTCHA回避手法が含まれており、不可視オーバーレイでユーザー操作を模倣したり、refeuficn.github.ioでホストされる外部ソルバーを利用したりします。 広告詐欺およびクリック詐欺のためにページへ隠しiframeが注入され、フォレンジック検出を避けるため15秒後に消えます。 悪意あるVPN拡張機能 GhostPosterは、無料VPN拡張機能が悪性化するという憂慮すべき傾向の最新例です。 FirefoxのマーケットプレイスにおけるFree VPNのページ。 今月初めには、Googleで特集されユーザー800万人を抱える拡張機能Urban VPN Proxyが、ChatGPT、Claude、GeminiからAI会話を収集し、データブローカーに販売していたことが暴露されました。 同様に、別の認証済み拡張機能でインストール数10万超のFreeVPN.Oneも、ユーザーの銀行情報、個人的な写真、機密文書のスクリーンショットを密かに取得していたことが発覚しました。 GhostPosterキャンペーンは、攻撃者が試行錯誤を通じて手法を洗練させていることを示しています。 特定された17個の拡張機能は配布メカニズムがさまざまで、PNGステガノグラフィを用いるものもあれば、JavaScriptを直接ダウンロードするもの、あるいはエンコードされたC&Cドメインを使った隠しeval()呼び出しを用いるものもあります。 これは、脅威アクターがどのアプローチが最も長く検出を回避し、最大の収益を生むかをテストしていることを示唆します。 ユーザーは直ちにFirefox拡張機能を見直し、見覚えのないものや最近インストールしたVPNおよびユーティリティ拡張機能を削除して、この継続中の脅威から身を守るべきです。 翻訳元:

Przeglądarka Firefox od lat uchodzi za bastion prywatności i bezpieczeństwa. Jednak nawet najlepszy zamek nie pomoże, jeśli sam wpuścisz złodzieja frontowymi drzwiami. Grupa badawcza Koi Security właśnie ujawniła, że 17 popularnych dodatków do tej przeglądarki zawierało złośliwe oprogramowanie o wdzięcznej nazwie GhostPoster. Ponad 50 000 użytkowników nieświadomie zainstalowało sobie cyfrowego pasożyta. Jeśli ostatnio instalowałeś „darmowy VPN” albo „lepszy tryb ciemny”, po przeczytaniu tego tekstu natychmiast powinieneś zacząć sprawdzanie listy rozszerzeń. ## Cierpliwy intruz w Twoim logo Mechanizm działania GhostPostera jest jednocześnie przerażający i imponujący. Zazwyczaj spodziewasz się, że złośliwy kod ukryty jest głęboko w plikach wykonywalnych dodatku. Twórcy tego zagrożenia poszli o krok dalej i **zastosowali steganografię**. Szkodliwy skrypt JavaScript ukryli w plikach graficznych – konkretnie w logotypach samych wtyczek. Twoja przeglądarka widzi zwykły obrazek, ale dla złośliwego loadera jest to paczka danych, w której zaszyfrowano instrukcje ataku. Szukają w kodzie obrazka ciągu znaków „===”, by wydobyć ładunek. Co gorsza, twórcy tego oprogramowania wykazali się rzadko spotykaną cierpliwością. Zainstalowany dodatek przez pierwsze sześć dni zachowuje się wzorowo. Dopiero po upływie niemal tygodnia, **gdy Twoja czujność zostanie uśpiona** , oprogramowanie budzi się do życia. Jest to strategia obliczona na oszukanie systemów bezpieczeństwa i samych użytkowników. Jeśli coś zaczyna psuć się tydzień po instalacji, rzadko łączysz to z tą jedną wtyczką, którą dodałeś kilka dni temu. Dodatkowo loader pobiera właściwy złośliwy kod tylko w 10% przypadków i robi 48-godzinne przerwy między próbami kontaktu z serwerem. Wszystko to sprawia, że wykrycie go w monitoringu sieci staje się zadaniem bardzo trudnym. ## Darmowe udogodnienia, za które słono płacisz Cyberprzestępcy doskonale wiedzą, czego szukasz. Lista zainfekowanych dodatków to przegląd najpotrzebniejszych narzędzi internetowych. Znajdują się na niej darmowe VPN-y, narzędzia do robienia zrzutów ekranu, nieoficjalne wersje Tłumacza Google czy popularne wtyczki wymuszające tryb ciemny na wszystkich stronach. Tytuły takie jak „Global VPN – Free Forever”, „Dark Reader Dark Mode” czy „Ad Stop – Best Ad Blocker” brzmią jak spełnienie marzeń internauty zmęczonego reklamami i jasnym światłem monitora. Ironia losu polega na tym, że instalując „najlepszy bloker reklam”, fundujesz sobie zaawansowane oszustwa reklamowe. Skala problemu jest znaczna. Złośliwe wtyczki pobrano łącznie ponad 50 000 razy! Najstarszy z zainfekowanych dodatków, „Dark Mode”, pojawił się w sklepie z rozszerzeniami jeszcze w październiku 2024 roku. Oznacza to, że przez miesiące użytkownicy Firefoxa karmili swoimi danymi serwery przestępców, żyjąc w błogim przekonaniu, że po prostu ułatwiają sobie życie. **Mozilla już usunęła wspomniane dodatki** ze swojego sklepu, ale to nie usuwa ich automatycznie z Twojej przeglądarki, jeśli już tam są. **Musisz zrobić to ręcznie**. ## Co robi lis w kurniku – działanie GhostPostera Działanie tego złośliwego oprogramowania nie polega na niszczeniu Twoich plików czy blokowaniu komputera. Jest znacznie bardziej subtelne i **nastawione na zysk**. Głównym celem jest zarabianie pieniędzy na Twojej niewiedzy poprzez manipulowanie ruchem sieciowym. GhostPoster zajmuje się **podmienianiem linków afiliacyjnych**. Gdy wchodzisz na duże platformy e-commerce, malware cicho podmienia link, sprawiając, że prowizja za Twoje zakupy trafia do twórców wirusa, a nie do uczciwych partnerów handlowych. Jeszcze bardziej niepokojące jest **wstrzykiwanie kodu** śledzącego Google Analytics do każdej odwiedzanej przez Ciebie strony. Pozwala to przestępcom budować niezwykle dokładny profil Twoich zainteresowań i zachowań w sieci, co jest **towarem** niezwykle pożądanym na czarnym rynku danych. Najgroźniejszym aspektem ataku jest jednak **usuwanie nagłówków** bezpieczeństwa jak Content-Security-Policy – jakby ktoś po cichu wyłączył poduszki powietrzne w Twoim samochodzie. Jeździ dalej tak samo, ale w razie wypadku jesteś bezbronny. Pozbawiona takich zabezpieczeń przeglądarka staje się podatna na ataki typu **clickjacking i XSS** (cross-site scripting), co otwiera furtkę dla znacznie groźniejszych zagrożeń niż tylko niechciane reklamy. Badacze zauważyli również, że malware potrafi **omijać CAPTCHA** , udając człowieka, co pozwala mu na masowe generowanie fałszywych kliknięć w reklamy (ukryte w niewidocznych ramkach iframes). ## Szerszy kontekst zagrożeń Sytuacja z GhostPoster nie jest odosobnionym przypadkiem, lecz elementem szerszego trendu. Zaledwie kilka dni przed tym odkryciem inna popularna wtyczka VPN do Chrome i Edge została przyłapana na wykradaniu rozmów z czatów AI jak ChatGPT czy Gemini. Z kolei w sierpniu 2025 roku dodatek „FreeVPN.One” zbierał zrzuty ekranu i dane o lokalizacji użytkowników. W świecie darmowego oprogramowania walutą zawsze jesteś Ty. Skoro produkt jest za darmo, a jego utrzymanie kosztuje (serwery VPN nie opłacają się same), ktoś musi za to zapłacić w inny sposób. W tym wypadku **ceną jest Twoja prywatność**. Według raportu Koi Security 17 wtyczek korzystało z identycznej infrastruktury serwerowej (domeny takie jak „liveupdt[.]com” czy „dealctr[.]com”). Wskazuje to na działanie jednej zorganizowanej grupy przestępczej, która testuje różne przynęty. Dziś jest to VPN, jutro tryb ciemny, a pojutrze narzędzie do pogody. Schemat pozostaje ten sam… **zdobyć zaufanie, odczekać tydzień, a następnie rozpocząć żniwa**. ## Jak sprawdzić, czy masz problem? Najprostszym krokiem jest wejście w menu dodatków w Twoim Firefoxie (skrót Ctrl+Shift+A) lub wpisanie w pasku adresu about:addons. Przejrzyj listę zainstalowanych rozszerzeń. Szukaj nazw takich jak… „Free VPN Screenshot Weather”, „Mouse Gesture”, „Cache – Fast site loader”, „Free MP3 Downloader”, wszelkich nieoficjalnych wersji Google Translate (np. „Google Translate right clicks”), „Global VPN – Free Forever” oraz wtyczek związanych z trybem ciemnym, jak „Dark Reader Dark Mode” czy „Ad Stop – Best Ad Blocker”. Jeśli znajdziesz którąkolwiek z nich, **natychmiast ją usuń**. Nie wystarczy jej wyłączyć. Po usunięciu warto również wyczyścić pliki cookie i pamięć podręczną przeglądarki, aby pozbyć się wszelkich śladów sesji, które mogły zostać przejęte. **Zalecana jest również zmiana haseł do najważniejszych usług** , z których korzystałeś w ostatnim czasie, zwłaszcza jeśli nie masz włączonego uwierzytelniania dwuskładnikowego. Bądź sceptyczny wobec rozszerzeń, które proszą o dostęp do wszystkich danych na wszystkich stronach, jeśli ich funkcjonalność tego nie uzasadnia. Prosta wtyczka pogodowa nie powinna czytać treści Twoich maili. W świecie cyfrowego bezpieczeństwa zaufanie jest dobre, ale kontrola niezbędna. Lepiej spędzić pięć minut na weryfikacji producenta oprogramowania, niż miesiącami udostępniać swoje cyfrowe życie hakerom udającym dostawców darmowego VPN-a. Pamiętaj, że w Internecie brak ceny rzadko oznacza brak kosztów. Źródła: The Hacker News, BleepingComputer 🚀 Chcesz opanować więcej ukrytych funkcji i rozwiązać inne cyfrowe problemy? Na blogu TechFormator.pl czekają na Ciebie dziesiątki poradników, które podniosą Twoje umiejętności IT. Wskakuj po kolejną dawkę wiedzy!

Koiの研究者は、多くのユーザーが決して注意深く確 …

Eyal Estrin unread, 4:36 AM (24 minutes ago)    to https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users Eyal Estrin CISSP, CCSP, CISM, CISA, CDPSE, CCSK Blog: https://security-24-7.com | Books: https://amzn.to/42Xai9A | https://amzn.to/3Sggbtv Twitter: @eyalestrin | Bluesky: @eyalestrin.bsky.social

GhostPoster uses steganography to hide malware inside browser extension logos. Over 1 million victims. Part of DarkSpectre operation hitting 8.8 million users. Seven years undetected.

GhostPoster malware hid inside 17 Firefox add-ons, abusing logo files to hijack links, inject tracking code, and run ad fraud.

Koi Securityは、アイコンにマルウェアを隠すためにステガノグラフィを利用する一連の拡張機能を介してFirefoxユーザーを標的とする悪意あるキャンペーンを特定した。 これらの拡張機能は無料VPNサービス、広告ブロッカー、翻訳ツール、天気予報アプリを装っているが、実際にはユーザーの活動を監視し、セキュリティ保護を無効化し、リモートコード実行（RCE）を可能にする多段階のペイロードを展開する。 GhostPosterと名付けたこのキャンペーンについてKoiによると、少なくとも17件の同種の拡張機能がブラウザのアドオンマーケットプレイスに公開され、約50,000回インストールされている。 そのうちの1つであるFree VPN Foreverという拡張機能は2025年9月に公開され、16,000回以上インストールされている。 Koiは、この拡張機能がロゴファイルを読み込み、その後、画像の生バイト列から特定のマーカーを探すことを確認した。 拡張機能の開発者はステガノグラフィを用い、そのマーカーの後ろに、リモートのコマンド＆コントロール（C&C）サーバーへ到達して暗号化されたペイロードを取得するローダーを隠していた。 検知を回避するため、GhostPosterのFirefox拡張機能は直ちにC&Cへ接続せず、C&C接続が成功した場合でもペイロードを取得するのは10%に限られる。 ローダーは、ユーザー追跡とブラウザ収益化のための包括的なツールキットであるペイロードを復号し、その後再暗号化して永続化のためにブラウザストレージへ保存する。 回避目的として、追加の時間遅延により、マルウェアは拡張機能のインストールから6日以上経過してから有効化されるようになっている。 Koiが発見したところによると、このマルウェアはユーザーのECサイト訪問を監視し、アフィリエイトリンクのクリックを横取りして置き換えることで、元のアフィリエイトではなくマルウェア作者が購入手数料を得られるようにしている。 さらに、このマルウェアは訪問したすべてのページにGoogle Analyticsのトラッキングを注入し、インストール済み拡張機能すべてのデータを収集し、訪問したマーチャントネットワークに関する情報を収集し、特定サイトに要素を注入してユーザーに気付かれないままプロファイリングを行う。 GhostPosterのFirefox拡張機能のユーザーは、マルウェアがHTTPレスポンスからセキュリティヘッダーを削除するため、クリックジャッキングやクロスサイトスクリプティング攻撃にもさらされる。 Koiによると、このマルウェアはWebページに隠しiframeを注入することもでき、悪意ある活動が阻止されないよう複数のCAPTCHA回避手法も備えている。 Koiは、同一の2つのC&Cサーバーに接続して悪意あるペイロードを取得する17件の拡張機能を特定したとしており、配信メカニズムが異なるものもあるが、いずれも同一の脅威アクターに結び付いているとみられる。 「これらの拡張機能は、あなたが訪れるあらゆるサイトでブラウザのセキュリティヘッダーを剥ぎ取ります。あらゆるページにコードを注入します。攻撃者が管理するサーバーへの永続的な接続を維持し、指示を待ちます。ペイロードはいつでも更新可能です。明日あなたのブラウザで何が動くかは、完全に彼ら次第です」とKoiは指摘している。 翻訳元:

Security researchers have now identified another 17 malicious extensions across the Chrome, Firefox, and Microsoft Edge add-on stores, where they amassed a combined 840,000 installations.