適用系統:Chrome 135 以上 / Edge 135 以上 / Firefox 135 以上 | 更新日期:2026-04-12
⚡ 站長快讀:核心重點
- 文章屬性:教學實戰
- 難易度 / 耗時:⭐⭐ / 約 10 分鐘
- 核心結論:教你用
chrome://extensions從權限、發行者、更新紀錄三個角度自檢已安裝的擴充功能,並附上 2025 年底爆發的 GhostPoster 惡意外掛對照清單。 - 適用對象:有在用 Chrome、Edge、Firefox,且擴充功能裝了一堆從來沒整理過的人。
🔍 為什麼你需要這個?
你有沒有想過,那個用了三年的「右鍵 Google 翻譯」擴充功能,背後可能正在偷偷記錄你逛過的每一個網站?2025 年底爆出的 GhostPoster 攻擊事件把這個問題直接拉到檯面上:根據資安團隊 Koi Security 最早的發現,以及 LayerX Security 後續追查到的完整規模,一共有 17 款偽裝成翻譯、VPN、廣告攔截、螢幕截圖工具的擴充功能,在 Chrome、Firefox、Edge 官方商店潛伏長達五年,累計被下載超過 84 萬次,光一個叫「Google Translate in Right Click」的擴充功能就害 52 萬個 Chrome 使用者中招。
更糟糕的是,這波攻擊的手法是把惡意 JavaScript 藏在擴充功能的 PNG 圖示檔案裡面——沒錯,就是那個看起來無害的 logo。傳統資安掃描根本抓不到,等擴充功能被偷偷更新之後,它會綁架你的電商聯盟連結、注入追蹤碼、剝掉網站的安全標頭,甚至預留一個可以隨時推送新 payload 的後門。
📌 一句話答案:Chrome 惡意擴充功能常偽裝成翻譯、VPN、廣告攔截工具,透過
chrome://extensions檢查權限、發行者與更新紀錄三大指標即可揪出,發現異常立即移除並清除 Cookie,就能有效防範 GhostPoster 這類竊資攻擊。
🛠️ 實戰步驟
步驟一:打開擴充功能管理頁,啟用「開發人員模式」
網址列直接輸入 chrome://extensions 按下 Enter。Edge 用戶請改輸入 edge://extensions,Firefox 用戶則是 about:addons。
進去之後,把右上角的 「開發人員模式」 切到開啟。這一步很關鍵,開啟之後你才能看到每個擴充功能的內部 ID、載入路徑、背景 script 等資訊,對照惡意清單用的就是這組 ID。
💡 為什麼要開發人員模式? 擴充功能的真實身份其實就靠那組 32 位英文字串(ID)識別。官方商店上架後 ID 是不變的,所以就算攻擊者改名換 logo,ID 一對就知道是不是同一個馬甲。
步驟二:用三大指標交叉檢查每個擴充功能
逐一點選每個擴充功能的 「詳細資料」,接著用以下三個指標檢查:
指標 1|權限範圍
在「網站存取權」區塊,如果看到以下敘述,請立刻提高警覺:
- 「在所有網站上讀取及變更所有資料」:這等於交出整個瀏覽行為。一個簡單的翻譯工具根本不需要這種等級的權限。
- 「從您造訪的網站讀取您的瀏覽記錄」
- 「管理您的下載項目」
- 「代您與合作的原生應用程式通訊」(這個最危險,代表擴充功能可以和本機程式互相喊話,已經不是瀏覽器沙箱能關住的範圍)
根據 Chrome 線上應用程式商店官方說明,這些都屬於「高度警示」等級權限,只有真的需要的擴充功能才應該擁有。
指標 2|發行者與店內資訊
點選「查看商店」跳到 Chrome 線上應用程式商店頁面,確認:
- 發行者名稱是不是個人帳號或奇怪的拼音組合(例如「charliesmithbons」這種風格)
- 評論數量與時間分佈:只有幾百則評論、全部集中在同一個禮拜湧入的,幾乎就是洗的
- 最近更新時間:超過兩年沒更新的擴充功能,一律視為「可能被棄養或已經被轉手」——GhostPoster 就是趁原作者賣掉擴充功能之後偷植入惡意碼的
- 是否掛著「精選」或「受信賴」徽章:沒有的話,判斷標準就更嚴格一點
指標 3|對照 GhostPoster 黑名單
根據 BleepingComputer 的完整整理 與 The Hacker News 的首發報導,以下是目前已知屬於 GhostPoster 活動的擴充功能名稱。若你裝了同名工具,請務必移除並從可信來源重新確認:
| 擴充功能名稱 | 類型 | 已知受影響瀏覽器 |
|---|---|---|
| Google Translate in Right Click | 翻譯 | Chrome |
| Translate Selected Text with Google | 翻譯 | Chrome |
| Floating Player PiP Mode | 影片 | Chrome |
| Ads Block Ultimate | 廣告攔截 | Chrome / Edge |
| Free VPN Forever | VPN | Firefox |
| Instagram Downloader | 下載工具 | Chrome / Firefox |
| Youtube Download | 下載工具 | Chrome / Firefox |
| Dark Mode | 介面美化 | Firefox |
⚠️ 提醒:可能存在同名但非惡意的擴充功能。請以「發行者名稱 + 上架時間」對照,不要單看名字就誤殺。
步驟三:發現可疑擴充功能後的清除流程
找到可疑對象之後,不要只是點「移除」就收工。GhostPoster 的 payload 會在 chrome.storage.local 留下以 instlogo 為 key 的殘留資料,完整清除流程如下:
- 在
chrome://extensions頁面移除該擴充功能 - 打開 設定 → 隱私權和安全性 → 清除瀏覽資料 → 進階
- 時間範圍選 「不限時間」,勾選:
- Cookie 和其他網站資料
- 快取圖片和檔案
- 網站設定
- 按下「清除資料」,然後完全關閉瀏覽器並重新開啟
- 前往常用的電商、Google 帳戶、社群平台,主動登出並重新登入,迫使 Session Token 失效
步驟四:驗證結果
重開瀏覽器後,再次進入 chrome://extensions,確認擴充功能清單乾淨。接著用 Have I Been Pwned 輸入 Email 查一下最近有沒有任何異常外洩紀錄,作為最後一道保險。
💡 站長老實說:進階玩法與底層邏輯
站長我自己在 2026 年 1 月 GhostPoster 名單公布後,立刻把手上三台機器的 Chrome 擴充功能全部盤了一次。結果在那台陪我跑了三年的 ThinkPad X1 Carbon 上,真的挖出一個 2023 年裝的「PDF 小工具」——開發者名稱是一串亂碼,最後更新時間是 2024 年 8 月,評論區有大量 2024 年底突然暴增的五星洗評。我沒有真的被綁架聯盟連結的痛感,但那個後門躺在我機器上至少一年多,光想就背脊發涼。
GhostPoster 這波真正可怕的地方不是技術多高明,而是它利用了一個被忽略的事實:擴充功能開發者是可以被收購的。原作者寫了一個熱門工具,用戶累積到幾十萬,某天收到一封「我們想買下這個專案」的郵件,成交之後新老闆推送一次更新,惡意碼就進到上百萬台電腦裡面。Chrome 商店的審核機制對「同一個 ID 的版本更新」信任度高得嚇人,這就是為什麼 LayerX 的研究員把這場清剿形容成一場「打地鼠永遠打不完」的遊戲。
講個更實用的建議:把擴充功能的權限從「在所有網站上」改成「按一下時」。在擴充功能圖示上按右鍵,選「可讀取及變更網站資料 → 當您按一下擴充功能時」,這樣它只有在你主動點它的時候才會啟動。我把所有非必要的擴充功能都這樣設定之後,整整三個月沒有發生任何異常,而且網頁載入速度明顯變順。這個動作不用花一毛錢,卻能把擴充功能攻擊面砍掉九成以上,是目前 CP 值最高的瀏覽器自我防護。
❓ 常見問題
Q:我只是裝了幾個擴充功能,真的有這麼嚴重嗎?
2025 年底 Koi Security 追查到的 DarkSpectre 攻擊組織光是三波活動(ShadyPanda、GhostPoster、Zoom Stealer)就影響了超過 880 萬個使用者。擴充功能是目前最被低估的攻擊面,因為它享有瀏覽器級別的權限,卻幾乎沒有人在看。不用到草木皆兵,但每半年至少盤一次是必要的。
Q:如果我裝的是名單上的擴充功能,但來源是官方商店、現在還活著,那還要移除嗎?
要。Google 官方在事件爆發後已經陸續下架名單上的擴充功能,但「現在還能用」不代表「一直都乾淨」。只要名稱 + 功能類型對得上,建議先移除,需要的話再從其他可信工具替代。別忘了順手清 Cookie。
Q:那 Edge 和 Firefox 也要做一樣的檢查嗎?
要,而且更要。GhostPoster 最早就是從 Edge 起家的,Firefox 後來也被攻陷。Edge 用 edge://extensions,Firefox 用 about:addons,檢查邏輯完全一樣。
Q:有沒有一勞永逸的辦法,不用三不五時自己檢查?
站長老實說沒有。但你可以做三件事把風險降到最低:第一,擴充功能權限全改成「按一下時」;第二,定期關注 BleepingComputer、The Hacker News 的擴充功能黑名單公告;第三,建立一個「只裝有商業公司背書、持續更新」的原則,個人開發者的小工具寧可不裝。
📎 參考資料來源
- 📖 Malicious GhostPoster browser extensions found with 840,000 installs — BleepingComputer(查詢日期:2026-04-12)
- 📖 Browser Extensions Gone Rogue: The Full Scope of the GhostPoster Campaign — LayerX Security(查詢日期:2026-04-12)
- 📖 GhostPoster Malware Found in 17 Firefox Add-ons — The Hacker News(查詢日期:2026-04-12)
- 📖 DarkSpectre Browser Extension Campaigns Exposed — The Hacker News(查詢日期:2026-04-12)
- 📖 Chrome 應用程式和擴充功能權限官方說明 — Google(查詢日期:2026-04-12)