Peneliti keamanan siber LayerX telah menemukan 17 extension berbahaya di browser Chrome, Firefox, dan Edge yang dapat memonitor aktivitas pengguna di internet serta menginstal backdoor untuk mencuri akses. Temuan ini merupakan kelanjutan dari GhostPoster yang pertama kali ditemukan oleh Koi Security pada pertengahan Desember 2025.
Para peneliti mengungkapkan bahwa sekelompok ekstensi berbeda dengan total unduhan mencapai 50.000 kali telah ditemukan melakukan hal yang sama, yaitu memantau perilaku pengguna dan menginstal backdoor. Ada daftar lengkap ekstensi yang ditemukan, seperti Google Translate in Right Click, Translate Selected Text with GoogleAds Block Ultimate, Floating Player – PiP Mode, dan lain sebagainya.
Beberapa ekstensi baru ini pertama kali diunggah pada tahun 2020, yang berarti telah terpapar malware di repositori browser resmi selama beberapa tahun. Ekstensi tampaknya pertama kali muncul di Edge sebelum menyebar ke Chrome dan Firefox. Penyerang menyimpan kode JavaScript berbahaya dalam logo PNG untuk mengunduh payload utama dari server jarak jauh agar sulit dideteksi.
Payload utama dapat mencuri uang langsung dari pembuat konten dengan menyusup ke tautan afiliasi di situs e-commerce besar. Selain itu, ekstensi juga dapat menyisipkan pelacakan Google Analytics, menghapus header keamanan dari respons HTTP, dan melewati CAPTCHA. Meskipun ekstensi telah dihapus dari repositori browser, pengguna disarankan untuk menghapusnya dari browser mereka untuk menghindari risiko.
