一場代號為「GhostPoster」的網絡攻擊行動近日震撼全球,超過 84 萬名 Chrome、Firefox、Brave 及 Edge 用戶受害。黑客利用極其隱蔽的「圖像代碼」技術,將惡意指令藏於擴充功能的圖標(Logo)中,成功避開官方審查長達五年。這批插件涵蓋了香港用戶最常用的 Ads Block、影片下載及 Google 翻譯等工具,目前官方已下架相關插件,但已安裝的用戶必須手動刪除,否則裝置將持續受控。
雖然 Brave 瀏覽器主打隱私保護與內建廣告攔截(Brave Shields),但由於其核心架構基於開源的 Chromium,且完全兼容 Chrome 線上應用程式商店,因此這次 GhostPoster 惡意插件風暴同樣波及 Brave 用戶。專家提醒,若用戶曾自行前往 Chrome Store 下載相關插件,Brave 的原生防護罩亦難以完全阻截這類「內鬼」式攻擊。

黑客創意「圖片藏毒」:傳統安全審查機制全面崩潰
根據 Koi Security 安全專家的最新調查,這次「GhostPoster」攻擊展現了前所未有的技術手段。與過往直接植入惡意代碼的做法不同,黑客將攻擊指令巧妙地織入擴充功能圖標(Logo)的圖像數據中。
這種做法令自動化安全審核系統難以察覺,因為在系統眼中,這只是一個普通的圖像檔案。當用戶安裝插件後,這些工具會先保持沉默,暗中監視用戶的瀏覽習慣。隨後,系統會偵測圖像代碼中的特殊後門(通常隱藏在三個「=」符號之後),從而加載並執行腳本程序。
一旦腳本激活,攻擊者便能:
- 操縱聯盟營銷連結(Affiliate links): 從用戶的網購行為中抽取佣金。
- 惡意重定向: 強制將用戶引導至詐騙網站或虛假的優惠頁面。
- 獲取擴展控制權: 在受害裝置中植入更具破壞力的木馬程式,竊取個人財務資料。
官方平台保護傘失靈:五年的「安全」謊言
最令香港用戶感到不安的是,這批惡意插件並非來自不知名的第三方網站,而是堂而皇之地掛在 Mozilla(Firefox) 及 Microsoft(Edge) 的官方應用商店內。
自 2020 年上架以來,這些插件在官方平台的資助與「信任背書」下,存活了長達 60 個月。這段期間,全球共有超過 84 萬個系統被植入這些「定時炸彈」。雖然目前相關平台已收到舉報並將插件下架,但這僅能阻止新用戶受害。對於舊有用戶,瀏覽器不會自動刪除已安裝的惡意程式,風險依然存在。

【黑名單曝光】請立即檢查並刪除以下插件
以下為研究機構點名的部分高風險擴充功能,建議所有用戶立即檢查瀏覽器管理頁面(chrome://extensions/ 或相關平台設置):
| 類別 | 受影響插件名稱 |
| 廣告管理與截圖 | Ads Block Ultimate, Full Page Screenshot, Page Screenshot Clipper, Cool Cursor |
| 影音下載類 | Floating Player – PiP Mode, Free MP3 Downloader, Instagram Downloader, YouTube Download |
| 翻譯與日常應用 | Google Translate in Right Click, One Key Translate, Translate Selected Text with Google/Right Click, Convert Everything |
| 工具與安全 | I Like Weather, Weather Best Forecast, World Wide VPN |
用戶自救三部曲
用戶請務必執行以下動作:
- 手動清理: 點擊右上角選單 $\rightarrow$ 「擴充功能」(Extensions),逐一對照前述的「黑名單」,發現即刪。
- 檢查權限: 即使是未上榜的插件,若顯示「讀取及變更您造訪過的網站上的所有資料」,請考慮是否真的需要。
- 善用內建功能: 例如Brave 已內建優質的廣告攔截與影片背景播放功能,盡量減少安裝第三方擴充功能,以降低攻擊面(Attack Surface)。
網友回應精選
- 「平時最常用嗰幾個翻譯插件都中咗,真係防不勝防,仲以為官方 Store 執得好嚴。」
- 「5 年都發現唔到?咁我啲銀行密碼同私人資料咪畀人睇晒?真係要即刻 check 下部機。」
- 「以前覺得裝多幾個 Extension 方便,原來係引狼入室。而家除咗大牌子,其他真係唔敢亂裝。」
- 「其實最好定期清理下啲唔用嘅插件,好多時佢哋換咗轉手之後就會變壞。」
- 「一直以為用 Brave 就百毒不侵,原來自己手痕去 Chrome Store 裝嘢都會中招。」
- 「其實 Chromium 核心嘅瀏覽器都係同一個老祖宗,Chrome 出事,Edge 同 Brave 通常都走唔郁。」
這次 GhostPoster 事件揭示了當前網絡生態的一個巨大漏洞:「權限過度擴張」與「信任盲區」。香港用戶習慣追求效率,對於能「一鍵下載」或「自動翻譯」的小工具缺乏戒心。
更深層的問題在於,官方應用商店的審查制度在面對「圖像隱寫術」等新型攻擊手段時顯得力不從心。這次長達五年的隱藏期,無疑是對瀏覽器巨頭們的一記響亮耳光。我們建議用戶,除了一定要定期清理不必要的擴充功能外,安裝前應仔細查看「權限請求」——如果一個簡單的天氣插件要求讀取你所有網站的資料,這就是明顯的危險信號。
