- LayerX menemukan 17 ekstensi browser berbahaya dengan 840.000+ unduhan
- Ekstensi membajak tautan afiliasi, memasukkan pelacakan, dan mengaktifkan penipuan iklan
- Semua ekstensi dihapus, tetapi pengguna harus menghapus instalasinya secara manual
Peneliti keamanan LayerX telah menemukan 17 ekstensi untuk browser Chrome, Firefox, dan Edge yang memantau aktivitas internet orang-orang dan memasang pintu belakang untuk akses terus-menerus. Secara total, ekstensi tersebut diunduh lebih dari 840.000 kali.
Ini bukanlah kampanye baru. Faktanya, LayerX mengklaim ini adalah kelanjutan dari Poster Hantukampanye yang pertama kali ditemukan oleh Koi Security pada pertengahan Desember 2025.
Saat itu, para penyelidik menemukan 17 ekstensi berbeda, yang secara kumulatif diunduh sebanyak 50.000 kali, yang melakukan hal yang sama – memantau perilaku dan memasang pintu belakang.
Poster Hantu
Berikut adalah daftar lengkap semua yang ditemukan ekstensi:
Google Terjemahkan di Klik Kanan
Terjemahkan Teks yang Dipilih dengan GoogleAds Block Ultimate
Pemain Mengambang – Mode PiP
Konversikan Segalanya
Unduh Youtube
Terjemahan Satu Kunci
Pemblokir Iklan
Simpan Gambar ke Pinterest dengan Klik Kanan
Pengunduh Instagram
Umpan RSS
Kursor Keren
Tangkapan Layar Halaman Penuh
Sejarah Harga Amazon
Penambah Warna
Terjemahkan Teks yang Dipilih dengan Klik Kanan
Pemotong Tangkapan Layar Halaman
Di antara kumpulan baru ini terdapat beberapa ekstensi yang pertama kali diunggah pada tahun 2020, yang berarti orang-orang telah terpapar malware di repositori browser resmi selama bertahun-tahun. Toko Edge tampaknya menjadi tempat di mana sebagian besar ekstensi ini pertama kali muncul, kemudian diperluas ke Chrome dan Firefox juga.
Beberapa ekstensi menyimpan kode JavaScript berbahaya di logo PNG. Kode tersebut berfungsi sebagai instruksi tentang cara mengunduh payload utama dari server jarak jauh. Untuk mempersulit pendeteksian dan atribusi, penyerang membuat ekstensi mengunduh payload utama sebanyak 10%.
Muatan utama dapat melakukan segala macam hal. Pertama dan terpenting, ia membajak tautan afiliasi di situs e-niaga besar – mencuri uang langsung dari pembuat konten.
Kemudian, ia memasukkan pelacakan Google Analytics ke setiap halaman yang dikunjungi pengguna, dan menghapus header keamanan dari semua respons HTTP.
Terakhir, ia dapat melewati CAPTCHA menggunakan tiga mekanisme terpisah, dan dapat memasukkan iframe yang tidak terlihat, yang sebagian besar digunakan untuk penipuan iklan, penipuan klik, dan pelacakan. Iframe ini akan hancur dengan sendirinya setelah sekitar 15 detik.
Sementara itu, semua ekstensi telah dihapus dari repositori masing-masing, namun pengguna tetap disarankan untuk menghapusnya dari browser mereka.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
