文章总结： GhostPoster攻击活动再次活跃，17款伪装成翻译及广告拦截等工具的恶意扩展被发现，累计下载量超84万。该活动通过图片隐写术隐藏恶意载荷，实施浏览监控、链接劫持及广告欺诈。部分扩展已被下架，但已安装用户仍面临风险，建议立即检查并清理相关插件。 综合评分： 86 文章分类： 恶意软件,威胁情报,漏洞预警,安全意识

GhostPoster攻势再起：17款恶意浏览器扩展伪装潜伏 累计下载量超84万

胡金鱼 胡金鱼

嘶吼专业版

2026年1月26日 14:00 北京

研究人员在 Chrome、Firefox 和 Edge 应用商店中又发现了17款与GhostPoster攻击活动相关的恶意扩展，这些扩展的累计安装量已高达84万次。

GhostPoster 活动最早由Koi Security的研究人员在2025年12月披露。当时他们发现了17款扩展，这些扩展将恶意 JavaScript 代码隐藏在其 Logo 图片中，用于监控浏览器活动并植入后门。

该恶意代码会从外部资源获取经过高度混淆的载荷（Payload），进而追踪受害者的浏览活动、劫持主流电商平台的联盟营销链接，并注入不可见的 iframe 以实施广告欺诈和点击欺诈。

LayerX的一份新报告指出，尽管该活动已被曝光，但仍在持续进行，以下 17 款扩展均为其最新成员：

·Google Translate in Right Click – 522,398 次安装

·Translate Selected Text with Google – 159,645 次安装

·Ads Block Ultimate – 48,078 次安装

·Floating Player – PiP Mode – 40,824 次安装

·Convert Everything – 17,171 次安装

·Youtube Download – 11,458 次安装

·One Key Translate – 10,785 次安装

·AdBlocker – 10,155 次安装

·Save Image to Pinterest on Right Click – 6,517 次安装

·Instagram Downloader – 3,807 次安装

·RSS Feed – 2,781 次安装

·Cool Cursor – 2,254 次安装

·Full Page Screenshot – 2,000 次安装

·Amazon Price History – 1,197 次安装

·Color Enhancer – 712 次安装

·Translate Selected Text with Right Click – 283 次安装

·Page Screenshot Clipper – 86 次安装

研究人员称，该活动最初起源于 Microsoft Edge 应用商店，随后扩展至 Firefox 和 Chrome。

LayerX 发现，上述部分扩展自 2020 年起就已存在于浏览器插件商店中，这表明这是一场成功的长期潜伏行动。

扩展上传时间轴

虽然其规避检测和激活后的功能与 Koi 之前记录的大致相同，但 LayerX 在“Instagram Downloader”扩展中发现了一个更高级的变种。

该变种的不同之处在于，它将恶意的“预加载逻辑”转移到了扩展的后台脚本中，并将捆绑的图像文件不仅用作图标，还作为隐蔽的载荷容器。

解码图像文件的有效载荷

在运行时，后台脚本会扫描图像的原始字节以寻找特定的分隔符（>>>>），提取隐藏数据并存储在本地扩展存储中，随后将其 Base64 解码并作为 JavaScript 执行。

这种分阶段的执行流程表明，该恶意软件正朝着更长的潜伏期、模块化以及更强的抗静态和行为检测能力方向进化。

新发现的这些扩展目前已从 Mozilla 和 Microsoft 的插件商店中下架。然而，此前已在浏览器中安装了这些扩展的用户可能仍面临风险。

参考及来源：https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《GhostPoster攻势再起：17款恶意浏览器扩展伪装潜伏 累计下载量超84万》