【安全资讯】恶意GhostPoster浏览器扩展累计安装量达84万次，持续威胁用户数据与广告生态

概要：

网络安全研究人员近期再次揭露了与GhostPoster恶意活动相关的17款浏览器扩展程序，这些扩展在Chrome、Firefox和Edge官方商店中累计获得了高达84万次的安装。该活动通过伪装成翻译、广告拦截、下载工具等实用扩展，秘密植入后门代码，严重威胁用户隐私安全并扰乱数字广告市场，凸显了官方应用商店审核机制面临的持续挑战。

主要内容：

GhostPoster恶意活动最初由Koi Security在去年12月披露，其核心攻击手法是将恶意JavaScript代码隐藏于扩展的Logo图像文件中。当用户安装这些扩展后，代码会从外部资源获取经过高度混淆的恶意载荷。该载荷具备多重危害功能：持续监控受害者的浏览活动、劫持主流电商平台的联盟营销链接以窃取佣金，并通过注入不可见的iframe进行广告欺诈和点击欺诈。

浏览器安全平台LayerX的最新报告指出，尽管已被曝光，该活动仍在持续。新发现的17款扩展中，安装量最高的“Google Translate in Right Click”已超过52万次。研究表明，该活动最早于2020年出现在Microsoft Edge商店，随后蔓延至Firefox和Chrome平台，部分扩展已潜伏数年，表明这是一次成功的长期运营。

在技术演进方面，LayerX在“Instagram Downloader”扩展中发现了一个更高级的变种。与此前版本不同，该变种将恶意代码的部署逻辑移到了扩展的后台脚本中，并利用捆绑的图像文件作为隐蔽的载荷容器，而不仅仅是图标。运行时，后台脚本会扫描图像原始字节中的特定分隔符(>>>>)，提取隐藏数据并存储于本地，随后进行Base64解码并作为JavaScript执行。

LayerX评论称，这种分阶段执行流程显示出该恶意软件在延长休眠期、模块化以及对抗静态和行为检测机制方面的明显进化。目前，相关扩展已从Mozilla和Microsoft的商店中移除，谷歌也确认已清理Chrome Web Store中的涉事扩展。然而，已安装的用户仍面临风险，其个人数据与浏览行为可能持续被窃取，同时助长了网络广告欺诈生态。