L'histoire se répète avec une variante plus sophistiquée : les chercheurs en sécurité ont découvert un nouvel ensemble de 17 extensions de navigateur liées à la campagne connue sous le nom de GhostPoster, qui ont accumulé environ 840 000 installations avant d'être retirées des magasins officiels. La frappe n'est pas seulement le volume, mais la technique utilisée par les attaquants : un code malveillant camouflé dans les images et les fichiers inclus dans les extensions elles-mêmes, avec un flux d'exécution échelonné conçu pour éviter les contrôles statiques et comportementaux.
La première alarme a été donnée par les analystes de Koi Security à la fin de l'année dernière, quand ils ont décrit des extensions qui ont caché le JavaScript malveillant dans des icônes. Ce code, une fois activé, téléchargé des charges futiles à partir de ressources externes, a surveillé l'activité de navigation, manipulé les liens d'affiliation sur les grandes plateformes de commerce électronique et monté des iframes invisibles pour générer des clics et des fraudes publicitaires. Si vous voulez voir le travail de cette première découverte, vous pouvez commencer par la page de Koi Security à koi.sécurité, où ils publient des enquêtes et des avis sur les campagnes d'extension malveillantes.
Un nouveau rapport de la plateforme de sécurité Browser LayerX confirme que la campagne n'a pas été éteinte après l'exposition initiale et détaille les 17 extensions impliquées dans ce tour, beaucoup avec des noms qui imitent des fonctions légitimes telles que les traducteurs, les bloqueurs de publicités ou les outils de téléchargement vidéo. Calque X a constaté que certains de ces suppléments étaient dans les dépôts officiels depuis des années, avec une présence documentée depuis 2020, suggérant une opération à long terme qui a pu rester sous radar. Vous pouvez lire l'analyse LayerX sur votre site officiel à layerx.ai où ils expliquent l'évolution technique de GhostPoster.
Parmi les développements techniques mis en évidence par LayerX figure l'évolution vers une exécution plus robuste en plusieurs phases: en plus de cacher le code dans les icônes, les attaquants ont commencé à emballer la charge malveillante dans les images incluses dans l'extension et à déplacer la logique de préparation vers le script de fond (le script background) de l'extension elle-même. Dans le temps d'exécution, ce script lit les octets bruts de l'image à la recherche d'un délimiteur spécifique (le rapport mentionne une séquence comme "> > >"), extrait les données cachées, les stocke temporairement et les décodifie de Base64 pour les exécuter comme JavaScript. Ce mécanisme augmente le temps de latence avant l'activation et complique la détection par des outils qui analysent uniquement le contenu visible ou les fichiers les plus évidents.
Le but de cette charge utile est varié et nuisible: surveillance persistante des pages qui visitent, rediriger ou gérer des liens d'affiliation pour voler des commissions, et l'insertion invisible d'iframes qui génèrent des impressions et des clics frauduleux. Toutes ces actions non seulement affectent la vie privée de la victime, mais peuvent également causer des pertes économiques pour les utilisateurs, les entreprises et les réseaux publicitaires. Calque X souligne que la modularité et le sigil du nouveau modèle permettent un sommeil et une résistance accrus aux filtres statiques et dynamiques.
Les plateformes officielles ont réagi: selon les informations, Mozilla et Microsoft ont déjà supprimé les extensions identifiées de leurs magasins, et Google a confirmé la suppression des versions touchées du Chrome Web Store. BleepingComputer a couvert le retrait et les communications avec Google; son portail est une bonne référence pour suivre le résultat et voir quelles extensions spécifiques ont été supprimées: bleepingcomputer.com. Néanmoins, supprimer une extension du magasin n'élimine pas sa présence dans les navigateurs de ceux qui l'ont déjà installé, de sorte que le risque persiste entre les utilisateurs avec des installations précédentes.
Si vous êtes préoccupé par l'installation de ces extensions ou tout autre comportement étrange dans le navigateur, il ya des actions concrètes et utiles que vous pouvez prendre immédiatement. Tout d'abord, vérifiez la liste des extensions installées et supprimez les ajouts que vous ne reconnaissez pas ou dont vous avez besoin. Les navigateurs offrent des pages de gestion d'extension avec des guides étape par étape: pour Chrome vérifier l'aide de Google dans support.google.com, pour Firefox Mozilla documentation dans support.mozilla.org et pour Edge les instructions Microsoft dans support.microsoft.com. Après avoir supprimé l'extension, il est recommandé de supprimer les données locales liées aux extensions (si le navigateur le permet), de nettoyer le cache et les cookies, et, si vous soupçonnez que des données sensibles pourraient être compromises, de faire pivoter les mots de passe et de revoir l'accès associé à des comptes importants.
Dans des scénarios plus sérieux, il est également approprié d'exécuter une analyse anti-malware mise à jour, d'examiner les transactions et l'activité inhabituelle dans les services liés à votre navigation (comptes en ligne, programmes d'affiliation, etc.), et, si l'extension avait des permissions étendues, envisager de créer un nouveau profil de navigateur ou même migrer les données vers une installation propre pour éviter les restes persistants. Les équipes et les administrateurs devraient vérifier les extensions installées sur les appareils de l'entreprise, imposer des politiques qui limitent l'installation à des suppléments vérifiés et surveiller les journaux de réseau à la recherche de communications de domaine suspectes utilisées pour télécharger des charges ovales.
Le cas GhostPoster met en lumière deux leçons importantes: d'une part, l'opportunité de ne pas abaisser la garde à des extensions apparemment inoffensives - un traducteur ou un téléchargement d'image peut devenir vecteurs d'attaque - et d'autre part, le besoin d'améliorations continues dans la surveillance des magasins d'extension et dans les défenses qui détectent le code caché dans binaire et les images. Si vous voulez approfondir le modus operandi et les recommandations techniques, les rapports publics de Koi Security and Layer X sont un bon point de départ, et des médias spécialisés comme BleepingComputer assurent le suivi de la médiation dans les magasins.
La dernière invitation est simple : Vérifiez vos extensions calmement, retirez les inutiles et gardez votre navigateur à jour. Les extensions nous facilitent la vie, mais elles ouvrent aussi une porte d'entrée si nous ne les gérons pas avec prudence.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...