Дослідники компанії Koi Security повідомили про виявлення масштабної кампанії GhostPoster, націленої на користувачів браузера Firefox. Зловмисники впроваджували шкідливий JavaScript-код у логотипи 17 розширень, використовуючи стеганографію в PNG-файлах. За оцінками спеціалістів, ці аддони було встановлено понад 50 000 разів, що робить інцидент одним із найбільш помітних випадків компрометації екосистеми розширень Firefox за останній час.
Як працює GhostPoster у шкідливих розширеннях Firefox
Стеганографія в PNG-логотипах: прихований JavaScript-код
Ключова особливість кампанії GhostPoster — використання стеганографії, тобто приховування даних усередині, на перший погляд, легітимних файлів. Замість того, щоб розміщувати шкідливий код безпосередньо в скриптах розширення, оператори кампанії вбудували фрагмент JavaScript у «сирі» байти PNG-логотипів.
Всередині розширення присутній окремий скрипт, який послідовно зчитує байти зображення, видобуває прихований фрагмент JavaScript і запускає його в контексті аддона. Цей код виконує роль завантажувача (loader) — він не містить основної шкідливої логіки, а лише забезпечує отримання наступного пейлоада з віддаленого серверу керування.
Відкладений запуск і зменшення слідів у мережевому трафіку
Щоб ускладнити виявлення засобами моніторингу трафіку та аналізу поведінки розширень, GhostPoster реалізує кілька рівнів маскування. Після інсталяції аддона завантажувач неактивний приблизно 48 годин. Такий відкладений запуск розмиває зв’язок між моментом встановлення розширення та появою підозрілої активності в браузері.
Додатково шкідливий код звертається до командно-контрольного (C2) серверу за основним пейлоадом лише у невеликій частці запусків (орієнтовно 1 з 10). В інші моменти він залишається «сплячим», що значно скорочує обсяг шкідливого мережевого трафіку й ускладнює виявлення кампанії за поведінковими ознаками. Якщо основний домен C2 недоступний, використовується резервний сервер, що підвищує стійкість інфраструктури атаки.
Багаторівнева обфускація та XOR-шифрування пейлоада
Пейлоад, який завантажується з C2-сервера, проходить багаторівневу обфускацію. За даними Koi Security, застосовується комбінування зміни регістру символів, кодування в Base64 та додаткові прийоми ускладнення структури коду. Після первинного декодування дані додатково шифруються за допомогою операції XOR, причому ключ обчислюється динамічно на основі runtime ID конкретного розширення.
Такий підхід значно ускладнює як статичний, так і динамічний аналіз: один і той самий компонент може виглядати по-різному на різних системах, а традиційні сигнатурні методи детектування стають менш ефективними. Подібні техніки дедалі частіше застосовуються у складних кампаніях, спрямованих на обхід антивірусів та засобів аналізу коду.
Які ризики несуть шкідливі розширення Firefox для користувачів
Фінальний пейлоад GhostPoster використовує легітимні механізми API розширень Firefox, отримуючи широкий доступ до функціональності браузера. Залежно від наданих дозволів такі аддони можуть читати та змінювати вміст відвідуваних вебсторінок, вбудовувати додатковий JavaScript, відстежувати дії користувача, підмінювати контент або показувати небажану рекламу.
За результатами поточного аналізу дослідники не виявили активного викрадення паролів чи автоматичного перенаправлення на фішингові ресурси. Проте головний ризик полягає у наявності прихованого завантажувача, який у будь-який момент може отримати команду на доставку більш агресивних модулів — від крадіїв облікових даних до шпигунських чи рекламних компонентів із розширеними можливостями спостереження.
Особливо небезпечним є те, що GhostPoster маскується під популярні категорії розширень — VPN-клієнти, перекладачі, блокувальники реклами, погодні віджети. Користувач очікує підвищення зручності та конфіденційності, але натомість фактично надає зловмисникам довготривалий канал доступу до своєї браузерної активності.
Реакція Mozilla та наслідки для екосистеми розширень
Представники Mozilla повідомили, що команда, відповідальна за екосистему додатків, провела внутрішнє розслідування та видалила всі виявлені шкідливі розширення GhostPoster з офіційного каталогу addons.mozilla.org. Крім того, були оновлені автоматизовані механізми перевірки, щоб блокувати аддони з подібними технічними та поведінковими ознаками.
Інцидент показує, що формальна модерація та первинний аналіз коду не гарантують повної безпеки розширень. Використання стеганографії в зображеннях, відкладеної активації та багатошарової обфускації дозволяє зловмисникам тимчасово обходити як автоматичні, так і ручні перевірки. Подібні проблеми вже неодноразово фіксувалися й в екосистемах інших браузерів, що свідчить про системний характер ризиків, пов’язаних із розширеннями.
Як захистити Firefox від зловмисних розширень та подібних кампаній
Кампанія GhostPoster наочно демонструє, чому безпеку розширень браузера слід розглядати на одному рівні з безпекою будь-якого іншого програмного забезпечення. Щоб зменшити ризики, фахівці з кібербезпеки рекомендують:
1. Використовувати лише офіційні джерела. Встановлюйте розширення тільки з каталогу Firefox та уникайте сторонніх сайтів і неофіційних архівів, навіть якщо вони обіцяють «преміум»-версії безкоштовно.
2. Перевіряти розробника та репутацію. Віддавайте перевагу відомим постачальникам, аналізуйте кількість інсталяцій, рейтинг та відгуки. Несподівано високі оцінки при невеликій базі користувачів — привід поставитися до аддона з обережністю.
3. Мінімізувати кількість аддонів. Встановлюйте тільки ті розширення, які дійсно потрібні для роботи. Регулярно проводьте ревізію списку встановлених розширень і видаляйте непотрібні або давно невикористовувані.
4. Уважно читати запитувані дозволи. Якщо простий інструмент запитує доступ «до всіх сайтів», історії переглядів або до завантажених файлів без очевидної причини — це має насторожити. У багатьох випадках можна знайти менш «вимогливу» альтернативу.
5. Оновлювати браузер та розширення. Своєчасне встановлення оновлень Firefox і додатків дозволяє отримувати не лише нові функції, а й виправлення вразливостей та посилені механізми безпеки, зокрема нові засоби виявлення шкідливих аддонів.
6. Використовувати засоби моніторингу в корпоративному середовищі. В організаціях доцільно застосовувати рішення для контролю веб-трафіку, політики щодо дозволених розширень та централізоване керування браузерами. Компрометація одного робочого місця через шкідливий аддон може стати точкою входу для ширшої атаки на корпоративну мережу.
Кейс GhostPoster демонструє, що навіть на перший погляд безпечне розширення може перетворитися на інструмент прихованого контролю над браузером, якщо користувач ігнорує базові правила кібергігієни. Уважний підхід до вибору аддонів, регулярна ревізія встановлених розширень та критичне ставлення до запитуваних дозволів суттєво знижують імовірність компрометації. Захистити свою цифрову приватність та корпоративні дані сьогодні означає, зокрема, навчитися довіряти браузеру лише перевірені та прозорі компоненти.
