RADARBANYUWANGI.ID - Keamanan digital kembali menjadi sorotan setelah sejumlah peneliti mengungkap maraknya ekstensi browser berbahaya yang beredar di repositori resmi.
Temuan terbaru menunjukkan bahwa ancaman ini tidak hanya menyasar pengguna individu, tetapi juga organisasi berskala menengah hingga besar, dengan potensi dampak finansial dan kebocoran data yang signifikan.
17 Ekstensi Berbahaya Terungkap oleh LayerX
Peneliti keamanan siber dari LayerX menemukan setidaknya 17 ekstensi berbahaya yang tersebar di peramban Google Chrome, Mozilla Firefox, dan Microsoft Edge.
Ekstensi-ekstensi ini memiliki kemampuan memantau aktivitas pengguna di internet, menyisipkan pelacakan tersembunyi, hingga menginstal backdoor yang memungkinkan pencurian akses.
Temuan ini disebut sebagai kelanjutan dari kampanye GhostPoster, yang pertama kali diidentifikasi oleh Koi Security pada pertengahan Desember 2025.
Saat itu, ekstensi serupa telah diunduh hingga 50.000 kali dan menjalankan pola serangan yang hampir identik.
Berikut daftar ekstensi yang teridentifikasi berbahaya:
- Google Translate in Right Click
- Translate Selected Text with GoogleAds Block Ultimate
- Floating Player – PiP Mode
- Convert Everything
- Youtube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
Sebagian ekstensi tersebut diketahui telah diunggah sejak tahun 2020, yang berarti pengguna dapat terpapar malware selama bertahun-tahun tanpa disadari.
Modus Canggih: Malware Disembunyikan dalam File Gambar
Untuk menghindari deteksi, penyerang menyimpan kode JavaScript berbahaya di dalam file logo PNG ekstensi.
Kode ini berfungsi sebagai instruksi untuk mengunduh payload utama dari server jarak jauh, namun hanya dieksekusi pada sekitar 10 persen kasus, sehingga sulit dilacak.
Payload tersebut mampu:
- Menyusupkan tautan afiliasi palsu di situs e-commerce besar
- Mencuri pendapatan pembuat konten
- Menambahkan pelacakan Google Analytics tersembunyi
- Menghapus header keamanan HTTP
- Melewati CAPTCHA
- Menyisipkan iframe tak terlihat untuk penipuan iklan dan klik
Meskipun seluruh ekstensi ini telah dihapus dari toko resmi, pengguna tetap disarankan untuk memeriksa dan menghapusnya secara manual dari browser masing-masing.
NexShield dan Ancaman ClickFix yang Berevolusi
Ancaman lain yang tidak kalah serius datang dari ekstensi palsu bernama NexShield.
Ekstensi ini menyamar sebagai pemblokir iklan dan mengklaim sebagai produk Raymond Hill, pengembang uBlock Origin.
Faktanya, NexShield merupakan bagian dari skema malware canggih yang menyebarkan ModeloRAT, sebuah Remote Access Trojan.
Serangan ini merupakan evolusi dari metode ClickFix, dengan tahapan sebagai berikut:
- Pengguna menginstal ekstensi NexShield yang tampak sah
- Sekitar satu jam kemudian, browser mengalami serangan denial-of-service
- Browser tidak responsif dan harus ditutup lewat Task Manager
- Setelah restart, muncul pesan kesalahan palsu
- Pengguna diminta menjalankan perintah di Command Prompt
- Perintah tersebut mengunduh dan menginstal ModeloRAT
ModeloRAT memberi peretas kendali penuh atas perangkat korban, termasuk akses data sensitif dan sistem internal perusahaan.
Peneliti Huntress mengungkap bahwa aktor ancaman KongTuke menargetkan lingkungan korporat, namun risiko terhadap pengguna individu diperkirakan akan meningkat.
Ekstensi Palsu Menyasar Sistem HR dan ERP Perusahaan
Selain itu, peneliti dari Socket mengungkap lima ekstensi Chrome berbahaya yang menyamar sebagai platform HR dan ERP populer seperti Workday, NetSuite, dan SuccessFactors.
Tujuannya adalah mencuri token otentikasi dan membajak sesi pengguna.
Lima ekstensi tersebut adalah:
- DataByCloud Access Tool
- Access 11
- DataByCloud 1
- DataByCloud 2
- Software Access
Menurut laporan Socket per 19 Januari 2026, ekstensi ini mampu memblokir kapabilitas respons insiden, sehingga tim keamanan dapat mendeteksi intrusi tetapi kesulitan melakukan pemulihan.
Meski jumlah unduhan tercatat “hanya” 2.739 kali, dampaknya sangat besar karena menyasar organisasi berskala menengah hingga besar.
Langkah Pencegahan yang Perlu Dilakukan Pengguna
Untuk meminimalkan risiko dari ancaman serupa, pengguna disarankan melakukan langkah-langkah berikut:
- Periksa ulasan dan rating ekstensi sebelum instalasi
- Hindari ekstensi dari sumber atau tautan tidak dikenal
- Aktifkan fitur keamanan browser untuk memantau ekstensi
- Perbarui browser dan antivirus secara berkala
- Jangan menjalankan perintah sistem dari pop-up mencurigakan