Hack Alerta

GhostPoster: campanha esconde JavaScript malicioso em logos de addons do Firefox

Por Redação Hack Alerta Publicado em 16/12/2025 20:01 Riscos e Ameaças Tempo de leitura: 3 min

A campanha GhostPoster oculta JavaScript malicioso em imagens de logo de extensões do Firefox, permitindo monitoramento do navegador e instalação de backdoor. BleepingComputer reporta que as extensões envolvidas somam mais de 50.000 downloads, mas não listou IoCs públicos ou resposta oficial da Mozilla.

Resumo

A campanha batizada de "GhostPoster" esconde código JavaScript malicioso dentro da imagem de logo de extensões do Firefox. A matéria do BleepingComputer, por Bill Toulas, informa que extensões comprometidas já acumulam mais de 50.000 downloads e que o código tem sido usado para monitorar atividade do navegador e plantar uma backdoor.

Descoberta e escopo

Conforme o veículo, pesquisadores identificaram a técnica de ocultar JavaScript malicioso dentro de arquivos de imagem que servem como logo das extensões. A prática permitiu a distribuição de extensões comprometidas que, ao serem instaladas, entregam capacidades para observação do navegador e implantação de um backdoor.

Vetor e técnica usada

O vetor reportado explora o recurso de carregamento de imagens de logo por extensões do Firefox: o código malicioso é embutido no arquivo de imagem e, posteriormente, executado no contexto da extensão. A matéria caracteriza a campanha como contando com artefatos que passaram pelo processo de publicação das extensões, resultando em ampla exposição (mais de 50.000 downloads no total das extensões maliciosas identificadas).

Impacto e evidências

  • A matéria cita mais de 50.000 downloads somados das extensões envolvidas.
  • O comportamento descrito inclui monitoramento da atividade do navegador e a instalação de um backdoor, segundo a reportagem.
  • Não há, na reportagem consultada, lista pública de extensões afetadas, hashes ou domínios de comando e controle divulgados para indicadores técnicos.

Limites do que se sabe

O artigo apresenta a descrição técnica da técnica de ocultação em imagens e o impacto em número de downloads, mas não traz depoimentos de fornecedores (Mozilla) nem confirmações de remoção das extensões afetadas. Também não foram publicados, naquele texto, indicadores técnicos verificáveis que permitam detecção imediata em ambientes corporativos.

Implicações para segurança de navegadores

A técnica utilizada em GhostPoster demonstra que mecanismos não convencionais de entrega podem atingir extensões distribuídas por canais oficiais. A falta de IoCs públicos e de uma resposta oficial mencionada na matéria impõe um desafio para times de resposta: detectar extensões comprometidas requer análise de comportamento e inspeção de artefatos embarcados.

Recomendações para equipes de defesa

  • Revisar políticas de extensão do navegador em ambientes corporativos e aplicar listas brancas sempre que possível.
  • Monitorar telemetria de navegadores para presença de comunicações suspeitas atribuíveis a extensões recém‑instaladas.
  • Solicitar à área de segurança que verifique extensões com permissões amplas e audite quaisquer artefatos de terceiros adicionados a imagens ou recursos embarcados.

Fonte: BleepingComputer (Bill Toulas)

Baseado em publicação original de BleepingComputer
Tags: #firefox #addon #javascript #malware #ghostposter #browser #extensions #web-security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar