Ces 17 extensions Chrome, Firefox et Edge cachent un malware et vous les avez peut-être installées

Suivez-nous Ajouter Buzzarena à vos sources

Une campagne de malware très poussée a été révélée. Elle s’appelle GhostPoster et a permis à des pirates d’infecter plus de 840 000 navigateurs via les extensions pour Chrome, Firefox et Edge. On parle d’extensions disponibles depuis 2020 dans les boutiques de ces navigateurs, ce qui signifie qu’elles ont échappé à toute vigilance pendant près de cinq ans.

Microsoft Edge Firefox Mozilla Google Chrome GhostPoster
© Unsplash

Bref, les attaques se poursuivent et les extensions sont très prisées par les pirates. Les chercheurs de Koi Security ont découvert cette campagne de malware en décembre 2025 en analysant 17 extensions Firefox malveillantes qui totalisaient 50 000 installations.

Voici les 17 extensions Edge, Firefox et Chrome à supprimer d’urgence

L’enquête menée par la plateforme de sécurité LayerX montre une opération bien plus grande. Les mêmes pirates ont diffusé leurs extensions via Microsoft Edge, Firefox et Chrome de Google. Les pirates ont donc privilégié la discrétion à la rapidité. La technique utilisée par GhostPoster est très ingénieuse.

Microsoft Edge Firefox Mozilla Google Chrome GhostPoster
© LayerX

Les pirates ont utilisé la stéganographie pour cacher du code JavaScript malveillant directement dans les fichiers image qui servent de logos aux extensions. Pour faire simple, l’extension charge son icône comme n’importe quel programme le ferait, mais au lieu de simplement afficher l’image, elle parcourt les données brutes du fichier PNG à la recherche d’un marqueur spécifique. Tout ce qui se trouve après ce marqueur n’est pas de l’image, mais du code exécutable caché.

Une méthode qui permet de contourner les analyses de sécurité automatiques, mais aussi la vigilance humaine des boutiques d’applications. Les scanners cherchent du code malveillant dans les scripts et pas dans les fichiers image. Le logo d’une extension de traduction ou de bloqueur de publicité ne suscite pas de soupçon.

Voici la liste des extensions Mozilla, Chrome et Edge contaminés par GhostPoster :

  1. Google Translate in Right Click : 522 398 installations
  2. Translate Selected Text with Google : 159 645 installations
  3. Ads Block Ultimate : 48 078 installations
  4. Floating Player – PiP Mode : 40 824 installations
  5. Convert Everything : 17 171 installations
  6. Youtube Download : 11 458 installations
  7. One Key Translate : 10 785 installations
  8. AdBlocker : 10 155 installations
  9. Save Image to Pinterest on Right Click : 6 517 installations
  10. Instagram Downloader : 3 807 installations
  11. RSS Feed : 2 781 installations
  12. Cool Cursor : 2 254 installations
  13. Full Page Screenshot : 2 000 installations
  14. Amazon Price History : 1 197 installations
  15. Color Enhancer : 712 installations
  16. Translate Selected Text with Right Click : 283 installations
  17. Page Screenshot Clipper : 86 installations

Le malware diffusé par GhostPoster ne s’active pas tout de suite après l’installation. Il attend six jours avant de débuter ses activités malveillantes. Le programme ne contacte son serveur de commande et de contrôle que toutes les 48 heures. L’extension malveillante a donc l’air inactive pendant de longues périodes.

Voici les données surveillées par le malware GhostPoster

Quand GhostPoster est activé, les pirates surveillent toute l’activité de navigation, détectent les liens d’affiliation sur les plateformes de commerce en ligne pour dérober les commissions, injectent du code de suivi publicitaire et bien plus encore. Plus inquiétant, ils suppriment les en-têtes de sécurité HTTP des réponses web, ce qui expose les victimes à des attaques de type clickjacking et cross-site scripting sur tous les sites qu’elles visitent.

Microsoft Edge Firefox Mozilla Google Chrome GhostPoster
© LayerX

LayerX a identifié une variante bien plus redoutable dans l’extension Instagram Downloader. Sa méthode de dissimulation est bien plus poussée et, sans entrer dans les détails, cette amélioration montre que la technique de la dormance et le ciblage permettent d’échapper à la détection.

Mais alors, qui contrôle GhostPoster ? Selon Koi Security, c’est DarkSpectre, un groupe de pirates chinois. Les cybercriminels seraient aussi responsables de la campagne malveillante ShadyPanda qui a touché 5,6 millions de personnes et Zoom Stealer.

Les extensions malveillantes ont depuis été supprimées des stores

Les chercheurs ont aussi trouvé une extension Google Translate pour le navigateur Opera qui compte près d’un million d’installations et qui est connectée à la même infrastructure malveillante. L’ampleur pourrait donc être plus grande que prévu.

Mozilla et Microsoft ont retiré les extensions malveillantes de leurs boutiques. Google a confirmé à BleepingComputer qu’il a fait de même pour le Chrome Web Store. Si vous avez déjà installé l’une des extensions de la liste, pensez à la supprimer immédiatement. Réinitialisez aussi tous vos mots de passe.

  • GhostPoster a infecté plus de 840 000 navigateurs via des extensions publiées depuis 2020 sur Chrome, Firefox et Edge.
  • La campagne dissimule du JavaScript malveillant dans les icônes PNG des extensions grâce à la stéganographie.
  • Si l’une de ces extensions est installée, supprime-la immédiatement. Réinitialisez vos mots de passe.

Source : BleepingComputer

Vous appréciez notre contenu ?
👉 Soutenez-nous en nous suivant sur Google et ne manquez plus aucun article, promo ou bon plan exclusif !
G Suivez-nous sur Google
Nassim Chentouf
Nassim Chentouf

Passé par plusieurs rédactions et toujours actif dans d’autres, je suis spécialisé dans les nouvelles technologies, l’automobile, le gaming et bien d’autres sujets passionnants. Mon œil affuté me permet de repérer les meilleures actualités pour BuzzArena.

Réagissez à cet article !

Vous aimerez aussi
Derniers articles