Peneliti keamanan siber dari LayerX telah menemukan 17 ekstensi berbahaya di beberapa browser populer seperti Chrome, Firefox, dan Edge. Ekstensi ini memiliki kemampuan untuk memonitor aktivitas pengguna di internet dan bahkan bisa menginstal backdoor untuk mencuri akses. Temuan ini merupakan kelanjutan dari GhostPoster, kampanye berbahaya yang pertama kali terdeteksi oleh Koi Security pada pertengahan Desember 2025.
Peneliti menemukan sejumlah ekstensi yang berbeda dengan total unduhan mencapai 50.000 kali. Ekstensi tersebut memiliki fungsi yang serupa yaitu memonitor perilaku pengguna dan menginstal backdoor. Daftar lengkap ekstensi yang ditemukan antara lain Google Translate in Right Click, Translate Selected Text with GoogleAds Block Ultimate, Floating Player – PiP Mode, Convert Everything, Youtube Download, dan lain sebagainya.
Beberapa ekstensi baru pertama kali diunggah pada tahun 2020. Penyebaran ekstensi ini terutama terjadi di Edge, kemudian menyebar ke Chrome dan Firefox. Beberapa ekstensi menyimpan kode JavaScript berbahaya dalam logo PNG yang berfungsi untuk mengunduh payload utama dari server jarak jauh.
Payload utama dapat melakukan berbagai hal, seperti menyusup ke tautan afiliasi di situs e-commerce dan mencuri uang, menyisipkan pelacakan Google Analytics, menghapus header keamanan dari respons HTTP, dan masih banyak lagi. Walaupun ekstensi tersebut telah dihapus dari repositori browser resmi, pengguna tetap disarankan untuk menghapusnya dari browser masing-masing.
