GhostPoster: złośliwe rozszerzenia do Chrome/Firefox/Edge z 840 tys. instalacji – malware ukryte w obrazach PNG

Wprowadzenie do problemu / definicja luki

Kampania GhostPoster pokazuje, iż ryzyko nie musi zaczynać się od klasycznego “CVE” w przeglądarce. W tym przypadku problemem jest nadużycie modelu zaufania do sklepów z dodatkami: złośliwe rozszerzenia potrafią przejść weryfikację, wyglądać jak “normalne” narzędzia (tłumacz, adblock, pobieracz), a następnie uruchamiać ukryty ładunek już po instalacji.

Najbardziej niepokojący element GhostPoster to technika ukrywania kodu JavaScript w plikach PNG (steganografia / “doklejony” payload poza danymi obrazu), co utrudnia wykrywanie przez statyczną analizę paczki rozszerzenia.

W skrócie

• W styczniu 2026 opisano kolejny zestaw 17 rozszerzeń powiązanych z GhostPoster, dostępnych w sklepach Chrome / Firefox / Edge, które łącznie zebrały ok. 840 000 instalacji.
• Kampania była wcześniej nagłośniona w grudniu 2025 (pierwotnie w kontekście Firefoksa); wtedy wskazywano technikę ukrywania loadera w ikonie PNG.
• Złośliwy kod po aktywacji umożliwia m.in. śledzenie aktywności przeglądania, podmianę linków afiliacyjnych, osłabianie zabezpieczeń (nagłówki), wstrzykiwanie iframe’ów do fraudu reklamowego.
• Samo zdjęcie dodatku ze sklepu nie czyści infekcji – dodatki zainstalowane lokalnie mogą działać dalej, dopóki użytkownik/IT ich nie usunie.

Kontekst / historia / powiązania

GhostPoster został po raz pierwszy szerzej opisany w grudniu 2025 przez badaczy Koi Security na przykładzie dodatków do Firefoksa (m.in. “Free VPN Forever”) – już wtedy zwrócono uwagę na steganografię w PNG i wieloetapowy łańcuch infekcji.

Najnowsze ustalenia (styczeń 2026) wskazują, iż infrastruktura i TTP tej samej kampanii obejmują też Chrome i Edge, a część dodatków mogła być obecna w sklepach choćby od 2020 r., co sugeruje długą, cierpliwą operację nastawioną na monetyzację i odporność na wykrycie.

Analiza techniczna / szczegóły luki

1) Steganografia i “nietypowy” loader w PNG

W wariancie opisanym przez Koi Security rozszerzenie czyta własny plik logo.png i przeszukuje surowe bajty w poszukiwaniu znacznika ===. Wszystko po znaczniku nie jest już obrazem – to ukryty JavaScript uruchamiany w czasie działania.

2) Łańcuch wieloetapowy i opóźnienia (evasion-by-design)

GhostPoster działa warstwowo:

• Stage 1 (PNG): wydobycie loadera z ikony/obrazu,
• Stage 2 (C2): loader pobiera adekwatny payload z serwera zdalnego (w obserwacjach Koi: m.in. liveupdt[.]com oraz dealctr[.]com),
• dodatkowo: rzadkie “check-in’y” (np. co 48h) i probabilistyczne pobieranie payloadu (np. tylko część prób), co utrudnia analitykom “złapanie” ruchu na żywo.

LayerX opisuje również mechanizmy opóźnionej aktywacji (≥48h) i warunkowego uruchamiania łączności C2 jako najważniejszy element utrzymania się kampanii.

3) “Ewolucja” wariantów: delimiter >>>> i staging w background script

W styczniowym raporcie wskazano wariant, w którym logika stagingu została przeniesiona do background script, a payload jest ukrywany w zabundlowanym pliku graficznym (nie tylko ikonie). Skrypt skanuje bajty pod kątem delimitera >>>>, zapisuje dane w storage, dekoduje Base64 i wykonuje jako JavaScript.

4) Co robi payload po aktywacji (przykładowe funkcje)

Z opisu Koi i LayerX wynika, iż po uruchomieniu złośliwy kod potrafi m.in.:

• podmieniać linki afiliacyjne (kradzież prowizji) na platformach e-commerce,
• wstrzykiwać tracking (np. przez elementy DOM / analitykę),
• usuwać nagłówki bezpieczeństwa (np. Content-Security-Policy, X-Frame-Options), osłabiając ochronę przed clickjacking/XSS,
• wstrzykiwać niewidoczne iframe’y do fraudu reklamowego/click fraud i dodatkowego śledzenia,
• wdrażać mechanizmy CAPTCHA bypass (co zwiększa możliwości automatyzacji nadużyć w przeglądarce).

Praktyczne konsekwencje / ryzyko

Dla użytkownika indywidualnego

• Utrata prywatności: profilowanie aktywności przeglądania i zachowań zakupowych.
• Ryzyko dalszej infekcji / nadużyć: skoro payload jest pobierany zdalnie, operator może zmieniać funkcje w czasie (np. dołożyć phishing/credential theft), choćby jeżeli dziś dominuje monetyzacja reklamowo-afiliacyjna. (To wniosek wynikający z opisanego modelu “loader + aktualizowany payload”.)

Dla organizacji (enterprise)

• Shadow IT w przeglądarce: rozszerzenia instalowane “na własną rękę” omijają standardowe procesy oceny ryzyka.
• Osłabienie polityk bezpieczeństwa aplikacji webowych przez manipulację nagłówkami (CSP/HSTS/anty-clickjacking) – to potencjalny “force multiplier” dla innych ataków webowych.
• Trudność detekcji: długie uśpienie, selektywne check-in’y i steganografia powodują, iż klasyczne podejście “sprawdź pliki JS w paczce” może nie wystarczyć.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe działania (IR-lite)

• Sprawdź i usuń podejrzane rozszerzenia – zwłaszcza te “utility”, które mają dużo instalacji, a nie są od rozpoznawalnego wydawcy. Lista kampanii (styczeń 2026) obejmuje m.in.:
  • Google Translate in Right Click (~522k), Translate Selected Text with Google (~159k), Ads Block Ultimate, Floating Player – PiP Mode, Youtube Download, Instagram Downloader i inne.
• Zakładaj, iż usunięcie ze sklepu ≠ usunięcie z endpointu: jeżeli dodatek był zainstalowany, przez cały czas może działać do czasu manualnego odinstalowania.

2) Monitoring i hunting (blue team)

• Wdróż przynajmniej podstawowy audit dodatków (inventory: nazwa, ID, wydawca, uprawnienia, data instalacji, źródło instalacji) w przeglądarkach zarządzanych.
• Monitoruj ruch DNS/HTTP(S) pod kątem znanych wskaźników (na przykład domen C2 opisywanych przez Koi: liveupdt[.]com, dealctr[.]com).
• Poluj na symptomy: nietypowe modyfikacje DOM, wstrzyknięte iframe’y, podejrzane żądania sieciowe z kontekstu rozszerzeń, anomalie w nagłówkach odpowiedzi (utrata CSP/X-Frame-Options).

3) Prewencja w organizacji

• Allow-listing rozszerzeń + blokada instalacji “z wolnej ręki” (tam, gdzie to możliwe).
• Zasada minimum uprawnień: rozszerzenie, które prosi o szeroki dostęp do wszystkich stron, powinno być traktowane jak komponent wysokiego ryzyka.
• Rozważ narzędzia/telemetrię, które wykrywają zachowanie (a nie tylko sygnatury w kodzie) – LayerX wprost rekomenduje podejście behavior-based i regularny audit dodatków.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

GhostPoster wpisuje się w trend “malware jako rozszerzenie”: zamiast exploitować przeglądarkę, atakujący wykorzystują fakt, iż dodatki mają szerokie uprawnienia i użytkownicy instalują je masowo. Koi zwraca uwagę, iż szczególnie kuszące są “darmowe” rozszerzenia VPN i narzędzia rzekomo zwiększające prywatność – a w praktyce bywają nośnikiem telemetryki lub gorzej.

Na tle wielu kampanii wyróżnia się tu ukrywanie kodu w PNG oraz bardzo konsekwentne mechanizmy opóźnień i selektywnej aktywacji, które zwiększają szanse przetrwania w sklepach i w środowiskach produkcyjnych.

Podsumowanie / najważniejsze wnioski

• 840 tys. instalacji w wielu sklepach dodatków pokazuje, iż to nie incydent niszowy, tylko problem skali.
• GhostPoster to kampania “zaprojektowana pod unikanie detekcji”: steganografia w PNG, staging, opóźnienia, modularny payload.
• W praktyce ryzyko dotyczy zarówno użytkowników (śledzenie/monetyzacja), jak i firm (shadow IT, osłabianie zabezpieczeń web, trudność detekcji).
• Najskuteczniejsze podejście obronne to połączenie: inventory + polityki instalacji + monitoring zachowania rozszerzeń oraz szybkie usuwanie podejrzanych dodatków z endpointów.

Źródła / bibliografia

1. BleepingComputer – “Malicious GhostPoster browser extensions found with 840,000 installs” (17.01.2026). (BleepingComputer)
2. LayerX – “Browser Extensions Gone Rogue: The Full Scope of the GhostPoster Campaign” (15.01.2026). (LayerX)
3. Koi Security – “Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users” (16.12.2025). (koi.ai)
4. TechRadar – omówienie kampanii GhostPoster i reakcji ekosystemu dodatków (12.2025). (TechRadar)