Исследователи компании Koi Security выявили масштабную вредоносную кампанию GhostPoster, нацелившуюся на пользователей браузера Firefox. Злоумышленники разместили вредоносный JavaScript-код внутри логотипов 17 расширений, используя стеганографию в PNG-изображениях. По оценкам специалистов, эти расширения были установлены более чем 50 000 раз, что делает инцидент заметным эпизодом в области безопасности браузерных аддонов.
Как работает кампания GhostPoster в расширениях Firefox
Стеганография в логотипах: скрытый JavaScript в PNG-файлах
Ключевая особенность GhostPoster — применение стеганографии для сокрытия вредоносного кода. Вместо привычного вложения скриптов в исходный код расширения, оператор кампании спрятал JavaScript-фрагмент в сырой структуре PNG-логотипов расширений. Внешне такие изображения выглядят обычными и не вызывают подозрений ни у пользователя, ни у базовых автоматических проверок.
Внутри расширений присутствует специальный скрипт, который последовательно читает необработанные байты изображения, извлекает спрятанный фрагмент JavaScript и затем выполняет его в контексте расширения. Этот фрагмент выступает в роли загрузчика (loader), который не содержит основной вредоносной логики, а лишь отвечает за последующую доставку пейлоада с удалённого сервера.
Отложенный запуск и маскировка сетевой активности
Чтобы снизить вероятность детектирования средствами мониторинга трафика и аналитикой поведения расширений, разработчики GhostPoster реализовали несколько уровней маскировки. После установки расширения загрузчик остаётся бездействующим около 48 часов. Такой отложенный старт усложняет корреляцию между установкой аддона и появлением подозрительной активности.
Дополнительно загрузчик обращается к командно‑контрольному (C2) серверу за основным пейлоадом лишь приблизительно в одном из десяти срабатываний. В остальные случаи код остаётся в «спящем» режиме, что существенно сокращает объём вредоносного трафика и затрудняет поисковую аналитику. Если основной домен недоступен, предусмотрен резервный сервер, обеспечивающий устойчивость инфраструктуры атаки.
Многоуровневая обфускация и XOR-шифрование пейлоада
Получаемый с удалённого сервера пейлоад многократно обфусцирован. По данным исследователей, злоумышленники комбинируют изменение регистра символов, кодирование в формате Base64 и дополнительные приёмы усложнения структуры кода. После первичной декодировки данные шифруются при помощи XOR, причём ключ вычисляется динамически на основе runtime ID конкретного расширения.
Такой подход затрудняет статический и динамический анализ: один и тот же вредоносный компонент может выглядеть по-разному на разных системах, а прямое сопоставление сигнатур становится менее эффективным. Это типичная тактика современных кампаний, ориентированных на обход антивирусов и средств анализа кода.
Риски вредоносных расширений Firefox для пользователей
Финальный пейлоад GhostPoster получает доступ к функциональности браузера через легитимные механизмы расширений. В зависимости от выданных прав такие аддоны потенциально могут читать и модифицировать содержимое посещаемых веб-страниц, внедрять дополнительный JavaScript, отслеживать активность пользователя, подменять или добавлять рекламные элементы.
По данным исследователей, обнаруженный на момент анализа вариант GhostPoster не занимался прямым похищением паролей и не перенаправлял пользователей на фишинговые сайты. Тем не менее основная опасность заключается в наличии скрытого загрузчика, который в любой момент может получить команду на доставку более агрессивного пейлоада: от модулей для кражи учётных данных до шпионских или рекламных компонентов.
Такие атаки особенно опасны, поскольку маскируются под привычные категории расширений — VPN‑клиенты, переводчики, блокировщики рекламы, погодные виджеты. Пользователь ожидает повышения конфиденциальности и удобства, а в итоге получает канал для долгосрочного скрытого наблюдения за своей активностью в сети.
Реакция Mozilla и последствия для экосистемы расширений
По заявлению представителей Mozilla, команда, отвечающая за экосистему дополнений, уже провела расследование и удалила все обнаруженные вредоносные расширения из каталога addons.mozilla.org. Кроме того, были обновлены автоматические системы детектирования, чтобы блокировать расширения с похожими поведенческими и техническими паттернами атак.
Инцидент с GhostPoster наглядно демонстрирует, что формальная модерация и проверка кода при публикации расширений не гарантирует абсолютной безопасности. Использование стеганографии, отложенного запуска и многослойной обфускации позволяет злоумышленникам временно обходить как автоматические, так и ручные проверки. Аналогичные проблемы ранее фиксировались и в экосистемах других браузеров.
Экосистема расширений остаётся одной из ключевых зон риска: аддоны получают широкие права в браузере, а их обновления могут незаметно менять поведение уже установленного кода. Поэтому отрасль постепенно смещается в сторону более жёстких политик разрешений, песочниц и поведенческого анализа.
Как защитить Firefox от вредоносных расширений
Инцидент GhostPoster подчёркивает необходимость более внимательного отношения к установке дополнений и управлению ими. Для снижения рисков специалисты по кибербезопасности рекомендуют:
- Устанавливать расширения только из официального каталога Firefox и избегать сторонних источников и непроверенных архивов.
- Проверять разработчика и рейтинг: отдавать предпочтение известным вендорам, читать отзывы, обращать внимание на неожиданно высокие оценки при малом числе установок.
- Минимизировать количество аддонов: устанавливать только действительно необходимые расширения, периодически проводить ревизию и удалять неиспользуемые.
- Анализировать запрашиваемые разрешения: если простое расширение запрашивает доступ «ко всем сайтам» или к истории просмотров без очевидной причины, это повод насторожиться.
- Обновлять браузер и расширения: своевременные обновления позволяют получать исправления уязвимостей и улучшения механизмов защиты.
- Использовать решения для мониторинга трафика и защиты от угроз, особенно в корпоративной среде, где компрометация браузера может привести к утечке конфиденциальных данных организации.
Кампания GhostPoster показывает, насколько изощрёнными стали атаки через, казалось бы, безобидные браузерные дополнения. Стеганография в логотипах, отложенная активация и продвинутая обфускация превращают расширения Firefox в удобный инструмент скрытого контроля над браузером. Чтобы снизить риск компрометации, пользователям и организациям важно подходить к выбору аддонов так же строго, как к установке любого другого ПО: проверять репутацию, ограничивать права и регулярно пересматривать набор установленных расширений. Внимательное отношение к безопасности браузера сегодня — один из ключевых шагов к защите цифровой приватности и корпоративных данных.
