文章总结： KoiSecurity报告称GhostPoster恶意扩展利用PNG图片隐藏代码绕过审查。调查显示18个相关插件总安装量超84万次，潜伏近五年，旨在持久潜伏而非快速攻击。目前Mozilla和微软已下架涉事插件，但用户仍需手动卸载。建议定期检查并限制浏览器扩展权限以保障安全。 综合评分： 88 文章分类： 恶意软件,威胁情报,安全意识

GhostPoster浏览器恶意软件隐藏5年，安装量达84万次

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月16日 09:01 湖北

导读

Koi Security 发布了一份针对名为 GhostPoster 的 Firefox 扩展程序的分析报告，揭示了一种绕过浏览器扩展程序审查人员通常关注的警告信号的滥用方法。

GhostPoster 的作案手法是将恶意代码隐藏在看似无害的PNG 图片文件中。该图片随后会被解码并执行，从而使该扩展程序能够绕过静态分析工具和人工审核而不引起怀疑。

在 Koi 分享调查结果后，LayerX 开始追踪该扩展程序背后的基础设施。他们的调查发现，还有 17 个插件使用了相同的后端系统和运行机制。这些扩展程序的总安装量超过 84 万次，其中一些甚至在用户设备上潜伏了近五年之久而未被发现。

LayerX 还注意到，在同一攻击活动中存在一个更高级的变种，它采用了额外的规避方法，自身就获得了 3822 次安装。虽然数量较少，但其设计体现了精心策划和耐心，而非追求短期利益。

该攻击活动并非始于Firefox浏览器。调查人员追踪到其早期活动源于 Microsoft Edge 浏览器，随着 Edge 基础设施的完善，攻击随后蔓延至 Chrome 和 Firefox 浏览器。

研究人员认为，这种缓慢的扩张表明这是一项长期行动，其策略侧重于持久性而非速度，旨在让扩展程序在激活有害行为之前保持其有效性和可信度。

针对此次披露，Mozilla和微软已从其官方应用商店下架了被曝光的扩展程序。

下架操作会阻止新的下载，但已安装的扩展程序仍会在用户系统上运行，这意味着用户必须手动将其删除。

研究结果进一步表明，浏览器扩展程序已成为网络犯罪分子入侵浏览器安全的最便捷途径。因此，用户必须定期检查已安装的扩展程序，限制其权限，并删除任何不再需要的扩展程序。

技术报告：

《失控的浏览器扩展程序：GhostPoster 活动的全貌》

Browser Extensions Gone Rogue: The Full Scope of the GhostPoster Campaign

新闻链接：

GhostPoster Browser Malware Hid for 5 Years With 840,000 Installs

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《GhostPoster浏览器恶意软件隐藏5年，安装量达84万次》