【安全资讯】GhostPoster攻击活动：恶意JavaScript代码藏身Firefox扩展图标

概要：

在日益复杂的网络威胁格局中，一种名为“GhostPoster”的新型攻击活动正通过Firefox浏览器扩展悄然传播。该活动利用隐写术将恶意JavaScript代码隐藏在扩展的PNG格式图标中，已感染超过5万次下载量的扩展，旨在监控用户浏览器活动并植入后门，对用户隐私和在线安全构成严重威胁。

主要内容：

Koi Security的研究人员发现了这场名为GhostPoster的攻击活动。攻击者将恶意JavaScript代码片段通过隐写术嵌入到Firefox扩展的PNG格式图标文件中。当用户安装这些被感染的扩展后，扩展会读取其自身图标文件，从中提取并执行隐藏的恶意代码加载器。

该加载器作为第一阶段载荷，其主要功能是从攻击者控制的远程服务器获取主恶意载荷。为了规避检测，加载器的行为极具隐蔽性：它会在安装约48小时后才被激活，并且仅在约10%的尝试中才会真正去获取主载荷，这种低频率通信策略使其难以被流量监控工具发现。

获取到的主载荷经过多层混淆处理，包括大小写转换和Base64编码，最终通过一个使用扩展运行时ID衍生的密钥进行XOR解密后执行。最终载荷功能强大，包括劫持主流电商网站的联盟链接以窃取佣金、向用户访问的所有页面注入Google Analytics跟踪代码、剥离HTTP响应中的安全标头，以及通过三种不同机制绕过验证码防护。

尽管当前版本的恶意软件尚未窃取密码或进行网络钓鱼，但其通过注入隐形iframe进行广告欺诈、点击欺诈和跟踪的行为已严重侵犯用户隐私。更令人担忧的是，由于GhostPoster采用了这种隐蔽的加载机制，攻击者未来可以轻易部署危害性更大的恶意载荷，使威胁迅速升级。目前，部分受感染的扩展在Firefox官方商店中仍未下架。