潜伏 5 年、装机量超 84 万！这款浏览器恶意插件竟靠一张图片瞒天过海

关键词

恶意插件

一款起初只是被标记为 “可疑” 的浏览器插件，如今已演变成一场波及甚广的网络安全隐患，而绝大多数用户对此毫无察觉。

上个月，网络安全机构 Koi Security 发布了一份针对火狐浏览器插件的分析报告，这款被命名为 GhostPoster 的恶意插件，采用了一种极为隐蔽的作恶手法，成功避开了插件审核人员常用的检测预警机制。

GhostPoster 的作案套路十分狡猾：它将恶意载荷隐藏在看似无害的 PNG 图片文件中。待插件安装后，这张图片会被解码并执行恶意程序。凭借这一手段，该插件轻松绕过静态分析工具和人工审核，全程未触发任何可疑警报。

Koi 披露后，LayerX 顺藤摸瓜挖出更大黑幕

在 Koi Security 公布调查结果后，安全公司 LayerX 随即对这款插件背后的运营基础设施展开追踪。

这一查，竟牵出了一个庞大的恶意插件网络：另有 17 款浏览器插件，与 GhostPoster 共用同一套后端系统和作案流程。这些插件累计下载量超过 84 万次，部分插件更是在用户设备上潜伏近 5 年，始终未被发现。

此外，LayerX 还在该恶意攻击团伙的作案链条中，发现了一个更高级的插件变种。这款变种插件新增了多重规避检测的手段，虽独立下载量仅有 3822 次，但从其设计来看，攻击团伙显然是在长线布局，而非急于牟利。

LayerX 官方明确表示：“在 Koi Security 发布相关报告后，我们通过调查发现，另有 17 款插件与该恶意网络共享基础设施及战术、技术与程序。这些插件累计下载量超 84 万次，部分插件更是在网络空间中活跃长达 5 年之久。”

值得注意的是，这场恶意攻击并非始于火狐浏览器。调查人员溯源发现，该团伙最早是在微软 Edge 浏览器上试水，待基础设施搭建成熟后，才将恶意插件扩散至谷歌 Chrome 和火狐 Firefox 两大主流浏览器。

研究人员分析，这种缓慢扩张的模式，恰恰暴露了攻击团伙的长期作战策略 —— 他们更看重插件的持久潜伏，而非扩张速度。先让插件获取用户信任、稳定运行，再伺机发动恶意攻击。

应用商店下架，但已装插件仍在作恶

据 LayerX 向科技媒体Hackread.com提供的博客内容显示，在安全机构披露相关情况后，Mozilla 和微软已迅速将涉事插件从官方应用商店下架。

但需要警惕的是，下架操作只能阻止新用户下载，已经安装在用户设备上的恶意插件，仍会照常运行。这意味着，用户必须手动卸载这些插件，才能彻底消除安全隐患。

此次事件再次敲响警钟：浏览器插件，已成为网络犯罪分子入侵用户设备的 “捷径”。

因此，广大用户务必养成定期检查插件的习惯：及时查看已安装的浏览器插件列表，严格限制插件权限，对于不再使用的插件，果断卸载，不给网络黑手可乘之机！