Une nouvelle série de 17 extensions malveillantes associées à GhostPoster a été identifiée sur Chrome, Edge et Firefox, pour un total de 840 000 installations. Malgré une première alerte fin 2025 et le retrait précédent de plusieurs modules, la campagne reste très active.
Après ShadyPanda et Zoom Stealer, l’affaire GhostPoster s’inscrit dans une série désormais bien identifiée de campagnes exploitant les extensions de navigateur comme vecteur d'infection principal. Fin 2025, les équipes de Koi Security avaient déjà mis le doigt sur un dispositif reposant sur des modules en apparence légitimes, capables de dissimuler du code malveillant dans des fichiers images et d’activer leurs fonctions avec retard. LayerX vient désormais compléter ce tableau en rattachant 17 extensions supplémentaires à la même infrastructure, confirmant une opération installée dans la durée et toujours capable de contourner les contrôles des stores officiels.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une activation différée et un code malveillant évolutif
Totalisant plus de 840 000 installations, les 17 modules identifiés se présentent comme des traducteurs, des bloqueurs de publicité, des outils de capture d’écran ou de téléchargement, et leur popularité tient en grande partie au fait qu’ils ne se comportent pas comme des arnaques grossières. Ils font en effet ce qu’ils promettent, ce qui explique leur diffusion et, pour certains, leur présence sur les stores depuis 2020, mais embarquent en parallèle un chargeur dissimulé dans des fichiers images PNG, le plus souvent l’icône de l’extension, via une technique de stéganographie.
Ce loader n’apparaît évidemment dans aucun des scripts JavaScript livrés avec l’extension web, mais est extrait à l’exécution par lecture des données binaires de l’image, puis reconstruit dynamiquement dans le navigateur. Son activation est différée, avec une phase de dormance d’au moins 48 heures, parfois plus longue selon les variantes, avant toute communication avec l’infrastructure distante.
Une fois actif, le chargeur récupère une charge utile additionnelle, fortement obfusquée, exécutée avec les permissions déjà accordées au plugin, et qu’il peut faire évoluer à distance au fil du temps, sans mise à jour visible de l’extension sur le store. Les fonctions observées couvrent le détournement de liens d’affiliation, l’injection d’iframes invisibles et de scripts liés à la fraude publicitaire, ainsi que la surveillance de l’activité de navigation, ce qui permet de monétiser les visites, les clics et, plus généralement, les habitudes de consultation des internautes à leur insu. Certaines variantes modifient également des en-têtes HTTP, notamment CSP et HSTS, destinés à encadrer l’exécution de scripts et imposer l’usage des connexions chiffrées, afin d’affaiblir les protections appliquées par le navigateur.
Contrôler ses extensions et limiter l’exposition
Les extensions concernées ont depuis été retirées des stores de Firefox, Edge et Chrome, et devraient en principe avoir été bloquées sur les navigateurs infectés. Pour autant, ce type de mesure ne dispense pas d’un contrôle côté utilisateur, la désactivation n’est pas toujours immédiate ni forcément homogène selon les navigateurs et les profils.
Pour les particuliers, le réflexe consiste donc à passer en revue la liste des extensions installées, supprimer celles identifiées comme liées à GhostPoster et faire le tri dans les modules inutiles ou signés par un éditeur inconnu au bataillon, l’ancienneté, le volume d’installations et les bonnes notes n’étant plus des indicateurs fiables. Un contrôle des autorisations accordées aide aussi à repérer les extensions qui réclament un accès étendu à l’ensemble des sites et aux données de navigation, un niveau de droits rarement justifié pour de simples outils de traduction, de capture d’écran ou de téléchargement.
En entreprise, enfin, la meilleure solution passe par une politique d’extensions assumée, avec un inventaire centralisé, une liste d’extensions autorisées et, idéalement, des installations limitées aux besoins métiers.
Source : LayerX
