安全公司披露了一项名为GhostPoster的恶意扩展攻击行动，针对Firefox浏览器的扩展生态系统。攻击者将恶意JavaScript代码隐藏在扩展程序的PNG图标文件末尾，在扩展加载时提取并执行，从而在用户浏览器中植入后门和追踪机制。研究人员统计，此次攻击至少涉及17款扩展程序，累计安装量超过5万次。

研究人员最初在名为“Free VPN Forever”的扩展中发现异常行为。该扩展会读取自身的logo.png文件，表面上是正常加载资源，但程序随后对图标原始字节进行额外处理，从中提取出隐藏在文件末尾的代码。研究人员指出，审查流程通常更关注可执行文件，攻击者因此将第一阶段加载器藏在看似无害的图标文件中，既不影响图标正常显示，又能在扩展加载时提取并执行隐藏代码。

从图标中提取的代码主要负责连接攻击者的命令与控制（C2）服务器，以下载真正的恶意载荷。研究人员表示，相关扩展程序通过延迟启动和间歇性连接来规避检测，例如在启动后约48小时才尝试回连，且仅有约10%的连接会实际获取下一阶段的恶意代码。

GhostPoster不像传统以破坏为目的的恶意软件，研究人员分析指出，其恶意载荷具备多种能力，包括监控用户浏览行为、注入追踪代码、在电商网站将联盟营销链接篡改为攻击者自己的分润链接，并通过隐形元素或隐形框架在后台加载外部内容，可能用于广告欺诈或点击欺诈。恶意程序还会移除部分网站响应中的安全头信息，削弱浏览器原本用于防范跨站脚本和点击劫持的防护机制。

研究人员将此次事件归类为多款扩展程序共用同一套攻击基础设施的协同行动。尽管这些扩展程序功能和包装各不相同，但其背后指向相同的C2域名和通信模式，显示出同一操作者持续扩散的迹象。相关恶意扩展已被从应用商店下架，但已安装的用户仍可能持续受到影响。

Firefox用户应立即检查已安装的扩展程序，特别是来源不明、主打免费VPN或声称能大幅提升浏览体验的扩展。如发现与受影响清单相符的扩展，应立即卸载，并留意是否出现不明跳转等异常行为。建议重置重要账户密码，以降低后续风险。