Een groep cybercriminelen genaamd DarkSpectre zou verantwoordelijk zijn voor drie campagnes die worden verspreid via kwaadaardige browserextensies: ShadyPanda, GhostPoster en Zoom Stealer.
In december 2025 schreven we over de ShadyPanda-campagne en waarschuwden we gebruikers dat extensies die jarenlang normaal hadden gewerkt, plotseling kwaadaardig waren geworden. Na een kwaadaardige update konden deze extensies het surfgedrag volgen en kwaadaardige code uitvoeren in de browser.
Ook in december ontdekten onderzoekers een nieuwe campagne, GhostPoster, en identificeerden ze 17 gecompromitteerde Firefox-extensies. De campagne bleek JavaScript-code te verbergen in het logo van kwaadaardige Firefox-extensies met meer dan 50.000 downloads, waardoor aanvallers browseractiviteiten konden volgen en een achterdeur konden plaatsen.
Het gebruik van kwaadaardige code in afbeeldingen is een techniek die steganografie wordt genoemd. Eerdere GhostPoster-extensies verborgen JavaScript-laadcode in PNG-pictogrammen zoals logo.png voor Firefox-extensies zoals "Free VPN ", waarbij een markering (bijvoorbeeld drie gelijkheidstekens) in de ruwe bytes werd gebruikt om afbeeldingsgegevens van payload te scheiden.
Nieuwere varianten gingen over op het insluiten van payloads in willekeurige afbeeldingen binnen de extensie , waarna ze tijdens runtime werden gedecodeerd en ontsleuteld. Hierdoor is de kwaadaardige code veel moeilijker te detecteren voor onderzoekers.
Op basis van dat onderzoek vonden andere onderzoekers nog eens 17 extensies die verband hielden met dezelfde groep, naast de oorspronkelijke Firefox-set. Deze werden in totaal meer dan 840.000 keer gedownload, waarbij sommige tot wel vijf jaar actief bleven.
GhostPoster richtte zich eerst op Edge Microsoft Edge en breidde zich later uit naar Chrome Firefox naarmate de aanvallers hun infrastructuur uitbouwden. De aanvallers publiceerden de extensies in de webwinkel van elke browser als ogenschijnlijk nuttige tools met namen als 'Google Translate in Right Click', 'Ads Block Ultimate', 'Translate Selected Text with Google',Instagram ' en 'Youtube Download'.
De extensies kunnen bezochte websites, zoekopdrachten en winkelgedrag zien, waardoor aanvallers gedetailleerde profielen kunnen maken van de gewoonten en interesses van gebruikers.
In combinatie met andere kwaadaardige code kan deze zichtbaarheid worden uitgebreid tot het stelen van inloggegevens, het kapen van sessies of aanvallen gericht op online bankieren, zelfs als dat op dit moment niet het primaire doel is.
Hoe blijf ik veilig
Hoewel we mensen altijd adviseren om alleen extensies uit officiële webwinkels te installeren, bewijst dit geval eens te meer dat niet alle extensies die daar beschikbaar zijn veilig zijn. Dat gezegd hebbende, is het risico van het installeren van een extensie buiten de webwinkel nog groter.
Extensies die in de webwinkel worden vermeld, worden aan eenbeoordelingsprocesonderworpen voordat ze worden goedgekeurd. Dit proces, dat automatische en handmatige controles combineert, beoordeelt de veiligheid, naleving van het beleid en algehele gebruikerservaring extensie. Het doel is om gebruikers te beschermen tegen oplichting, malware en andere kwaadaardige activiteiten.
Mozilla en Microsoft hebben de geïdentificeerde add-ons uit hun winkels verwijderd en Google heeft bevestigd dat ze uit de Chrome Store zijn verwijderd. Reeds geïnstalleerde extensies blijven echter actief in Chrome Edge gebruikers ze handmatig verwijderen. Wanneer Mozilla een add-on blokkeert, wordt deze ook uitgeschakeld, waardoor deze geen interactie meer kan hebben met Firefox en geen toegang meer heeft tot uw browser en uw gegevens.
Als u zich zorgen maakt dat u een van deze extensies hebt geïnstalleerd, kunnen Windows een Malwarebytes Scan uitvoeren met hun browsers gesloten.
- Op Malwarebytes Dashboard klik op de drie gestapelde puntjes om de Advanced optie.
- Selecteer op het tabblad Advanced de optie Diep scannen. Houd er rekening mee dat deze scan meer systeembronnen gebruikt dan normaal.
- Verwijder na de scan alle gevonden items en open vervolgens uw browser(s) opnieuw.
Handmatige controle:
Dit zijn de namen van de 17 extra extensies die zijn ontdekt:
- AdBlocker
- Advertenties blokkeren Ultimate
- Amazon
- Kleurversterker
- Alles converteren
- Coole cursor
- Zwevende speler – PiP-modus
- Volledige pagina screenshot
- Google Translate in Rechtsklikken
- One Key Vertalen
- Pagina Screenshot Clipper
- RSS-feed
- Afbeelding opslaan op Pinterest met rechtsklikken
- Geselecteerde tekst vertalen met Google
- Vertaal geselecteerde tekst met de rechtermuisknop
- YouTube downloaden
Opmerking: Er kunnen extensies met dezelfde naam bestaan die niet schadelijk zijn.
We rapporteren niet alleen over bedreigingen, we helpen ook uw volledige digitale identiteit te beveiligen.
Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Bescherm uw persoonlijke gegevens en die van uw gezin door identiteitsbescherming te gebruiken.
