Daftar Extension Berbahaya di Browser Chrome Hingga Firefox
Peneliti keamanan siber LayerX menemukan 17 extension berbahaya di browser Chrome, Firefox dan Edge. Extension ini bisa memantau aktivitas pengguna di internet hingga meng-install backdoor untuk mencuri akses.
Temuan ini bukan sesuatu yang baru. LayerX mengklaim ini adalah kelanjutan dari GhostPoster, sebuah kampanye yang pertama kali ditemukan oleh Koi Security pada pertengahan Desember 2025.
Lihat Juga : |
Saat itu, para peneliti menemukan sekelompok ekstensi yang berbeda, dengan total unduhan mencapai 50.000 kali. Ekstensi ini melakukan hal yang sama, yakni memantau perilaku dan menginstal backdoor.
Dikutip dari TechRadar, berikut adalah daftar lengkap semua ekstensi yang ditemukan:
- Google Translate in Right Click
- Translate Selected Text with GoogleAds Block Ultimate
- Floating Player - PiP Mode
- Convert Everything
- Youtube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
Di antara batch baru ini terdapat beberapa ekstensi yang pertama kali diunggah pada 2020. Artinya, orang-orang telah terpapar malware di repositori browser resmi selama bertahun-tahun.
Edge tampaknya menjadi tempat di mana sebagian besar ekstensi ini pertama kali muncul, kemudian menyebar ke Chrome dan Firefox juga.
Beberapa ekstensi menyimpan kode JavaScript berbahaya dalam logo PNG. Kode tersebut berfungsi sebagai instruksi untuk mengunduh payload utama dari server jarak jauh.
Untuk mempersulit deteksi dan atribusi, penyerang membuat ekstensi mengunduh payload utama hanya pada 10 persen dari waktu.
Payload utama dapat melakukan berbagai hal. Yang paling utama, ia menyusup ke tautan afiliasi di situs e-commerce besar dan mencuri uang langsung dari pembuat konten.
Kemudian, ia menyisipkan pelacakan Google Analytics ke setiap halaman yang dikunjungi pengguna, dan menghapus header keamanan dari semua respons HTTP.
Akhirnya, ia dapat melewati CAPTCHA menggunakan tiga mekanisme terpisah. Ia juga dapat menyisipkan iframe tak terlihat, yang umumnya digunakan untuk penipuan iklan, penipuan klik, dan pelacakan.
Iframe-iframe tersebut akan menghancurkan diri sendiri setelah sekitar 15 detik.
Lebih lanjut, semua ekstensi telah dihapus dari repositori masing-masing browser, tetapi pengguna tetap disarankan untuk menghapusnya dari browser mereka.
(lom/fea)