Media90 – Ekstensi browser sering dianggap sebagai alat praktis untuk meningkatkan pengalaman berselancar di internet. Namun, di balik kemudahan itu tersimpan ancaman serius. Peneliti keamanan siber dari LayerX baru-baru ini mengungkap 16 ekstensi populer yang diam-diam memantau aktivitas pengguna, menyisipkan kode berbahaya, dan bahkan mencuri akses melalui backdoor. Temuan ini merupakan kelanjutan dari kampanye GhostPoster yang sebelumnya mengejutkan dunia keamanan digital.
Ekstensi Berbahaya yang Teridentifikasi
LayerX menemukan 16 ekstensi dengan total unduhan lebih dari 840.000 kali di repositori resmi browser, termasuk Chrome, Firefox, dan Edge. Berikut daftarnya:
- Google Translate in Right Click
- Translate Selected Text with GoogleAds Block Ultimate
- Floating Player – PiP Mode
- Convert Everything
- Youtube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
Ekstensi ini menyimpan kode JavaScript berbahaya yang tersembunyi dalam file PNG. Kode tersebut mengunduh payload utama dari server jarak jauh, yang mampu melakukan berbagai aksi jahat seperti menyusup ke tautan afiliasi, menanam pelacakan tambahan, menghapus header keamanan HTTP, hingga menanam iframe tersembunyi untuk penipuan iklan dan klik palsu.
Jejak Kampanye GhostPoster
Metode yang digunakan mengingatkan pada kampanye GhostPoster pertama yang terdeteksi pada Desember 2025. Teknik steganografi digunakan untuk menyembunyikan kode berbahaya dalam gambar PNG, sementara payload utama diunduh hanya 10% dari waktu penggunaan ekstensi, membuat deteksi menjadi lebih sulit.
Bagaimana Ekstensi Ini Bekerja
Payload utama memiliki kemampuan multifungsi, antara lain:
- Menyusup ke tautan afiliasi di e-commerce untuk mencuri pendapatan pembuat konten.
- Menyisipkan pelacakan tambahan di setiap halaman yang dikunjungi pengguna.
- Menghapus header keamanan HTTP sehingga data lebih rentan.
- Melewati CAPTCHA dengan tiga mekanisme berbeda.
- Menanamkan iframe tak terlihat untuk penipuan iklan dan klik palsu, yang menghancurkan diri setelah 15 detik agar sulit terlacak.
Mengapa Edge Menjadi Titik Awal?
Sebagian besar ekstensi ini pertama kali muncul di Microsoft Edge sebelum menyebar ke Chrome dan Firefox. Beberapa telah aktif sejak 2020, menandakan pengguna telah terpapar malware bertahun-tahun tanpa disadari. Hal ini menunjukkan bahwa repositori resmi browser pun belum sepenuhnya aman dari infiltrasi ekstensi berbahaya.
Dampak Bagi Pengguna dan Ekosistem Digital
Ancaman dari ekstensi ini bukan hanya soal pencurian data. Aktivitasnya dapat merugikan:
- Pembuat konten kehilangan pendapatan.
- Pengguna menghadapi risiko privasi.
- Perusahaan e-commerce berpotensi kehilangan keuntungan.
Selain itu, penghapusan header keamanan HTTP membuka celah bagi serangan man-in-the-middle, sehingga data sensitif dapat disadap pihak ketiga.
Langkah Pencegahan
Meskipun ekstensi berbahaya telah dihapus dari repositori resmi, pengguna disarankan melakukan langkah-langkah pencegahan:
- Hapus ekstensi mencurigakan dari browser.
- Periksa izin akses ekstensi secara rutin.
- Gunakan solusi keamanan siber yang mendeteksi aktivitas mencurigakan.
- Perbarui browser secara berkala untuk perlindungan terbaru.
Ancaman yang Menguji Kepercayaan Pengguna
Kasus GhostPoster dan temuan LayerX menjadi pengingat bahwa keamanan digital tidak boleh diremehkan. Ekstensi sederhana bisa menjadi pintu masuk serangan siber kompleks yang berdampak ke jutaan pengguna. Keamanan tidak hanya bergantung pada sistem deteksi browser, tetapi juga pada kesadaran pengguna dalam memilih dan menggunakan ekstensi dengan bijak. Kemudahan digital tanpa kewaspadaan bisa berubah menjadi ancaman nyata.
