資安業者Koi Security揭露一波名為GhostPoster的惡意擴充套件攻擊行動,鎖定Firefox附加元件生態系。攻擊者把惡意JavaScript藏進附加元件的PNG圖示檔尾端,在附加元件載入時才讀取與抽出執行,進而在使用者瀏覽器內植入後門與追蹤機制。研究人員統計,相關活動至少涉及17款附加元件,累計安裝量超過5萬次。
研究人員先是在名為Free VPN Forever的附加元件中觀察到異常行為。該附加元件會讀取自身logo.png,表面上像是一般載入資源,但程式接著對圖示原始位元組做額外處理,藉此找出被夾帶在檔尾端的程式碼。研究人員指出,審查流程往往更容易聚焦在可執行程式碼檔案,攻擊者因此把第一階段載入器藏在看似無害的圖示檔內,讓圖示正常顯示的同時,也能在附加元件載入時抽出並執行隱藏程式碼。
從圖示中抽出的程式碼主要負責連回攻擊者的C2伺服器,再下載真正的惡意載荷。研究人員提到,相關附加元件會透過延後啟動與間歇性連線來躲避觀測,例如在啟動後約每48小時才嘗試回連,且僅約10%的回連會實際取回下一階段惡意載荷。
GhostPoster不像傳統以破壞為主的惡意程式,研究人員分析指出,惡意載荷具多項能力,包含監控瀏覽行為、注入追蹤、在電商網站把聯盟行銷連結改寫成攻擊者的分潤連結,並以隱形元素或隱形框架在背景載入外部內容,可能被用於廣告或點擊詐欺。惡意程式還會移除部分網站回應中的安全標頭,削弱瀏覽器原本用來降低跨站腳本與點擊劫持的防護。
研究人員將這起事件歸類為多款附加元件共用同一套攻擊基礎設施的行動,相關樣本雖以不同功能與包裝上架,背後卻指向相同的指揮控制網域與通訊模式,呈現出同一波操作者持續擴散的跡象。相關惡意附加元件已從市集中下架,但已安裝的使用者仍可能持續受影響。
Firefox使用者應立即盤點已安裝的附加元件,特別是來路不明、主打免費VPN或宣稱可大幅提升瀏覽體驗者,發現與研究列出的受影響清單相符應立即移除,並留意是否出現不明轉址等異常行為,同時可考慮重設重要帳號密碼,以降低後續風險。
熱門新聞
2026-01-02
2026-01-02
2026-01-02
2026-01-02
2026-01-02
2026-01-02