Nova runda GhostPoster kampanje: još 17 zlonamernih ekstenzija zarazilo 840.000 pregledača

Vesti, 19.01.2026, 11:00 AM

Bezbednosni istraživači otkrili su još 17 zlonamernih ekstenzija povezanih sa kampanjom GhostPoster, koje su se širile kroz prodavnice dodataka za Chrome, Firefox i Edge i ukupno prikupile oko 840.000 instalacija.

GhostPoster kampanju su prvi put dokumentovali istraživači kompanije Koi Security u decembru, kada su otkrili ekstenzije koje su skrivale zlonamerni JavaScript kod unutar svojih logo slika. Taj kod je pratio aktivnost korisnika u pregledaču i ubacivao skriveni „backdoor“.

Kod preuzima jako zamagljen payload sa eksternih servera, koji prati istoriju pretraživanja, preusmerava partnerske (affiliate) linkove na velikim e-commerce platformama i ubacuje nevidljive iframe elemente za prevare sa oglasima i klikovima.

Novi izveštaj kompanije LayerX pokazuje da kampanja i dalje traje, uprkos tome što je javno razotkrivena. Među identifikovanim ekstenzijama nalaze se popularni alati za prevođenje teksta, blokiranje reklama, snimanje ekrana i preuzimanje sadržaja sa YouTube-a i Instagrama. Reč je o sledećim ekstenzijama: Google Translate in Right Click, Translate Selected Text with Google, Ads Block Ultimate, Floating Player - PiP Mode, Convert Everything, Youtube Download, One Key Translate, AdBlocker, Save Image to Pinterest on Right Click, Instagram Downloader, RSS Feed, Cool Cursor, Full Page Screenshot, Amazon Price History, Color Enhancer, Translate Selected Text with Right Click i Page Screenshot Clipper.

Kampanja je započela u Microsoft Edge-u, a zatim se proširila na Firefox i Chrome. Neke od zaraženih ekstenzija nalazile su se u zvaničnim prodavnicama još od 2020. godine, što ukazuje na dugotrajnu i uspešnu operaciju.

Iako tehnike prikrivanja ostaju slične onima koje je ranije opisao Koi Security, LayerX je u ekstenziji „Instagram Downloader“ otkrio napredniju varijantu malvera - zlonamerni kod je premešten u pozadinsku skriptu ekstenzije, dok se payload skriva unutar posebnog fajla sa slikom, a ne samo u ikoni. Ovakav mehanizam ukazuje na evoluciju ka dužem periodu mirovanja, modularnosti i većoj otpornosti na bezbednosne analize.

LayerX navodi da su novoidentifikovane ekstenzije uklonjene iz Mozilla i Microsoft prodavnica dodataka, dok je Google potvrdio da su uklonjene i iz Chrome Web Store-a. Međutim, korisnici koji su ih ranije instalirali i dalje mogu biti izloženi riziku.

Stručnjaci savetuju korisnicima da provere instalirane ekstenzije u svojim pregledačima i uklone sve sumnjive ili nepotrebne dodatke, posebno one koje traže široke dozvole za pristup sadržaju stranica i podacima o pretraživanju.