Sebanyak 17 ekstensi browser berbahaya yang terhubung dengan kampanye GhostPoster kembali ditemukan di toko ekstensi Google Chrome, Mozilla Firefox, dan Microsoft Edge. Secara kumulatif, ekstensi-ekstensi tersebut tercatat telah diunduh hingga sekitar 840.000 kali, menandakan skala penyebaran yang signifikan meski kampanye ini sebelumnya telah diungkap ke publik.
Kampanye GhostPoster pertama kali dilaporkan pada Desember oleh peneliti Koi Security. Saat itu, ditemukan 17 ekstensi yang menyembunyikan kode JavaScript berbahaya di dalam berkas gambar logo. Kode tersebut memantau aktivitas peramban pengguna dan menanam backdoor untuk menjalankan muatan lanjutan.
Laporan terbaru dari platform keamanan browser LayerX menunjukkan bahwa operasi ini masih berlangsung meskipun telah terekspos. Ekstensi berbahaya tersebut menyamar sebagai alat populer—seperti penerjemah teks, pemblokir iklan, pengunduh konten, dan utilitas tangkapan layar—untuk menarik pengguna. Setelah aktif, skrip tersembunyi mengambil muatan yang sangat terobfuskasi dari sumber eksternal untuk melacak aktivitas penelusuran korban, membajak tautan afiliasi di platform e-commerce besar, serta menyuntikkan iframe tak terlihat guna melakukan penipuan iklan dan klik.
Daftar ekstensi yang teridentifikasi mencakup judul-judul dengan jumlah instalasi tinggi, termasuk variasi penerjemah berbasis klik kanan, pemblokir iklan, pengunduh media, hingga utilitas produktivitas. Peneliti mencatat bahwa kampanye ini bermula di Edge sebelum meluas ke Firefox dan Chrome, dengan beberapa ekstensi bahkan telah hadir di toko add-on sejak 2020—indikasi operasi jangka panjang yang berhasil menghindari deteksi.
LayerX juga menemukan varian yang lebih canggih pada salah satu ekstensi, di mana logika staging berbahaya dipindahkan ke skrip latar belakang. Alih-alih hanya menyembunyikan muatan di ikon, varian ini menggunakan berkas gambar terbundel sebagai wadah muatan terselubung. Saat dijalankan, skrip memindai byte mentah gambar untuk penanda tertentu, mengekstrak data tersembunyi, menyimpannya secara lokal, lalu mendekode dan mengeksekusinya sebagai JavaScript. Evolusi ini dinilai meningkatkan dormancy, modularitas, dan ketahanan terhadap deteksi statis maupun perilaku.
Menurut peneliti, ekstensi yang baru diidentifikasi telah dihapus dari toko add-on Mozilla dan Microsoft. Sementara itu, Google mengonfirmasi bahwa seluruh ekstensi terkait juga telah dihapus dari Chrome Web Store. Meski demikian, pengguna yang telah memasang ekstensi tersebut sebelumnya masih berpotensi berisiko hingga melakukan penghapusan manual dan pembersihan lanjutan.
Temuan ini menegaskan bahwa ekosistem ekstensi browser tetap menjadi target bernilai tinggi bagi pelaku ancaman, serta pentingnya kehati-hatian pengguna dalam memasang add-on—terutama yang menjanjikan fungsi umum dengan izin luas—dan perlunya audit berkala terhadap ekstensi yang terpasang.