Nas últimas semanas, surgiram casos preocupantes de extensões para o Google Chrome que, após serem trocadas de mãos, se transformaram em vetores de ataque capazes de executar código malicioso e roubar dados dos usuários. Duas das peças afectadas —QuickLens (ID: kdenlnncndfnhkognokgfpabgkgehodd) e ShotBird (ID: gengfhhkjekmlejbhmmopegofnoifnjp)— ilustram perfeitamente um problema crescente: a cadeia de fornecimento de extensões do navegador pode se tornar uma porta traseira se um projeto legítimo for vendido ou transferido para um ator mal-intencionado.
Pesquisadores independentes e assinaturas de segurança têm documentado como, após a transferência de propriedade, foram introduzidas atualizações que mantinham as funções visíveis das extensões, mas adicionem mecanismos para injetar e executar cargas úteis remotas. John Tuckner de Annex Security publicou uma análise técnica que mostra, no caso de QuickLens, a capacidade da extensão para remover cabeçalhos de segurança nas respostas HTTP (por exemplo, X-Frame-Options) e assim facilitar que scripts injetados façam pedidos arbitrários sorteando políticas como Content Security Policy. Sua pesquisa completa pode ser lida no blog de Annex Security ( annex.security).
O método de entrega usado é particularmente sigiloso: a extensão consulta periodicamente um servidor de comando e controle (C2) para baixar fragmentos de JavaScript, que não aparecem no código fonte estático do pacote. Em QuickLens esses fragmentos são armazenados no armazenamento local do navegador e executados em cada carga de página através da inserção de uma imagem escondida 1×1 cujo atributo onload dispara o código. Como explica Tuckner, o código malicioso existe apenas em tempo de execução, não nos arquivos visíveis da extensão, o que complica sua detecção por análise estática.
ShotBird, por sua vez, adota uma estratégia similar, mas com nuances: segundo a análise de monxresearch-sec ( monxresearch-sec), o 'plugin' descarrega diretamente o JavaScript que cria uma falsa notificação de atualização do Chrome. Se o usuário cair no engano, ele é levado a uma página que lhe instrue para abrir o quadro Executar do Windows, lançar cmd.exe e colar um comando do PowerShell que termina descarregando um executável chamado “googleupdate.exe”. Esse binário abre a porta a um compromisso a nível de sistema.
Uma vez ativa no navegador ou na equipe, a cadeia de abuso não fica apenas em redeireções ou pop-ups: o malware prende elementos de formulários (input, textarea, select) para capturar o que o usuário escreve, desde senhas até números de cartão ou identificadores governamentais. Além disso, você pode aceder a dados armazenados pelo Chrome (contra-senhas, história, informações de outras extensões) ampliando o alcance da fuga de informações. Como resumo prático, Isso combina controle remoto do navegador com pivoteos para execução no host, elevando o risco desde roubo de credenciais até a possível toma total do equipamento.
Os padrões técnicos e a infraestrutura observada levam os pesquisadores a atribuir ambas as campanhas ao mesmo ator: uso da mesma arquitetura C2, señuelos tipo ClickFix injetados nas páginas e transferência de propriedade das extensões como ponto de entrada. O fenômeno não é isolado. Em paralelo, a Microsoft advertiu sobre extensões baseadas em Chromium que se fazem passar por assistentes de IA e extraem histórias de chats e dados de navegação ( Microsoft Defender blog) e outros equipamentos, como os de Palo Alto Networks Unit 42, publicaram rastros de campanhas onde extensões atuam como troianos de acesso remoto ou realizam sequestro do navegador em grande escala ( Unit 42).
Também foram detectadas extensões que suplantam serviços legítimos para roubar frases sementes de criptobilleteras através de redireções para páginas de phishing, como documentou Socket no caso que imitava imToken ( Socket). O quadro mostra que, além do incentivo económico directo, muitos destes projectos fazem parte de esquemas de afiliação ou de campanhas coordenadas que reutilizam infra-estruturas e técnicas.
O que os utilizadores e as organizações podem fazer face a este tipo de risco? O primeiro e mais urgente é verificar se têm instaladas as extensões afetadas e, em caso afirmativo, desinstalar imediatamente. O Google fornece instruções para gerenciar e remover plugins em sua ajuda oficial ( Suporte do Chrome). A nível de boas práticas, convém evitar instalar extensões fora da loja oficial ou de desenvolvedores desconhecidos, rever as permissões que solicita uma extensão antes de os aprovar, e reduzir ao mínimo as extensões no navegador. Se houver suspeita de que um malware descargou código no sistema, recomenda-se executar uma análise com um antivírus atualizado, mudar as senhas de um dispositivo limpo e ativar a autenticação multifator lá onde possível.
Para empresas e administradores, é recomendável aplicar políticas de controle centralizado sobre quais extensões podem ser instaladas (listas brancas), auditar e bloquear instalações não autorizadas e monitorar telemetria de navegação. O Google fornece ferramentas de gerenciamento de negócios para gerenciar e restringir extensões em ambientes corporativos; vale a pena quando trabalha com dados sensíveis ou se conectam equipes a redes corporativas.
O episódio de QuickLens e ShotBird evidencia uma lição clara: um complemento popular e verificado pode deixar de ser benigno no momento em que muda de proprietário. A loja admite transferências e, salvo se houver um controle adicional, os novos proprietários podem publicar atualizações que tornem uma utilidade em um mecanismo de intrusão maciça. Enquanto plataformas e reguladores reforçam seus controles, a responsabilidade imediata recai em usuários, equipamentos de segurança e administradores para inspeccionar e limpar seus navegadores com critério.
Se você quiser aprofundar, aqui tem alguns recursos com análises técnicas e seguimento de indicadores: o relatório de Annex Security sobre QuickLens ( annex.security), o estudo de monxresearch-sec sobre ShotBird ( monxresearch-sec), o alerta da Microsoft Defender sobre extensões maliciosas de IA ( Microsoft), e o repositório de Unit 42 que documenta campanhas e listas de IOCs ( Unit 42).
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...