Nas últimas semanas, a comunidade de segurança voltou a ligar os alarmes sobre um inimigo silencioso que muitos usuários subestimam: as extensões do navegador. O que, à primeira vista, parecem pequenas utilidades para poupar tempo ou adicionar funções — desde geradores de códigos até assistentes inteligentes — está sendo aproveitado por atores maliciosos para roubar informações valiosas sem que quem as instala o note.
Um caso recente e particularmente preocupante foi o de uma extensão promovida como ferramenta para explorar confortavelmente Meta Business Suite e Facebook Business Manager. Pesquisadores de Socket analisaram esta extensão e descobriram que, além de funções aparentemente legítimas como geração de códigos 2FA ou supressão de janelas de verificação, o seu código coletou segredos TOTP (as sementes que geram códigos temporários) e os códigos de um único uso, bem como exportações do ponto "People" de Business Manager e dados analíticos. Tudo isso foi enviado a uma infraestrutura controlada pelo atacante, com opções para reenviar a informação a canais do Telegram. Uma extensão com apenas dezenas de instalações pode oferecer a chave para contas e contatos de alto valor, porque permite identificar objetivos interessantes e preparar ataques posteriores.
A técnica não é nova: os atacantes aproveitam que as extensões, uma vez autorizadas pelo usuário, podem interagir com páginas autenticadas e ler conteúdo que fica dentro do contexto do navegador. Por isso, embora a extensão não robe palavras-passe explicitamente, se o adversário já tiver credenciais por outras vias — por exemplo, a partir de registros de infostealers ou fugas — a capacidade de capturar códigos 2FA facilita o acesso não autorizado. Para entender o alcance técnico e a evidência, a pesquisa de Socket fornece detalhes que convém rever com calma se você lida com contas de publicidade ou administração em Meta.
Paralelamente, outro relatório proeminente veio de Koi Security, que documentou uma campanha massiva contra usuários de VKontakte. Lá, extensões disfarçadas de temas ou downloads de música injetavam JavaScript ofuscado em cada página de VK, subscreveram automaticamente os usuários a grupos controlados pelo atacante, manipulavam configurações e até exploravam CSRF para sortear proteções. A operação usou uma técnica inteligente para esconder os URLs da próxima etapa: metadados HTML de um perfil público serviam como "dead drop" para resolver onde estava hospedado o payload. O autor do ataque manteve um repositório público em que se observaram múltiplas commits durante meses, sugerindo que não se tratava de um exploit amador, mas de um projeto com manutenção e melhorias contínuas.
Se somarmos outro bloco de pesquisas, a imagem se agrava. A assinatura LayerX desvelou uma rede de extensões que se faziam passar por assistentes de IA, instaladas por centenas de milhares de usuários, e que na realidade carregavam um iframe para um domínio remoto que poderia mudar a funcionalidade da extensão em tempo real. Segundo LayerX, esses iframes podiam ordenar à extensão que extrajera texto legível da página usando livrarias como Readability, ativar reconhecimento de voz e enviar transcrições para o servidor atacante, ou mesmo ler o conteúdo visível do Gmail quando o usuário entrava em mail.google.com. O perigo é que o comportamento malicioso pode chegar sem passar pelo processo de atualização do repositório oficial, porque o iframe remoto controla o que é mostrado e o que é compilado.
A magnitude do problema também foi quantificada por outros grupos. Um repositório público mantido por pesquisadores encontrou centenas de extensões que enviam o histórico de navegação para intermediários e corretores de dados, com dezenas de milhões de instalações em conjunto. A pesquisa de Q Continuum, por exemplo, documenta uma coleção ampla de extensões espião com um alcance global de milhões de usuários ( ver detalhes). É a confirmação de que não se trata de incidentes isolados, mas de um padrão em que as extensões se monetizam ou se reutilizam para espionagem e fraude.
Diante deste panorama, a defesa requer decisões práticas e, sobretudo, hábitos sustentáveis. Em primeiro lugar, convém aplicar o princípio da exposição mínima: instalar apenas extensões que realmente necessitam e que provem de desenvolvedores com reputação verificável. Rever as permissões que solicita uma extensão antes de aceitar sua instalação é fundamental, porque muitos riscos se materializam quando o usuário autoriza o acesso a domínios sensíveis ou a todo o histórico de navegação. Além disso, auditar periodicamente as extensões instaladas e remover as que não uses reduz a superfície de ataque.
Para aqueles que gerem ambientes corporativos ou gerem contas críticas, há medidas mais contundentes: usar perfis de navegador separados para tarefas pessoais e profissionais, ativar políticas de allowlisting para controlar quais extensões podem ser instaladas e, quando possível, optar por mecanismos de autenticação que não dependem exclusivamente de códigos TOTP removíveis. As chaves de segurança baseadas na WebAuthn oferecem uma barreira técnica maior contra o roubo de fatores de uso único; para aprofundar essa opção, é útil rever a documentação sobre autenticação web como a que mantém MDN Web Authentication API. O Google também oferece guias sobre como as permissões funcionam e como gerenciar extensões do Chrome Web Store, que podem servir de referência para usuários menos técnicos: explicação sobre permissões e Como remover uma extensão.
Não convém cair na falsa segurança de pensar que poucos usuários envolvem baixo risco. Como os responsáveis pelas pesquisas apontaram, extensões com um número limitado de instalações podem ser ferramentas de reconhecimento e porta de entrada para objetivos corporativos ou contas com altos privilégios. A higiene digital é uma primeira linha de defesa imprescindível: revisar quem publica a extensão, ler opiniões com espírito crítico, verificar atualizações e corroborar achados da comunidade de segurança antes de confiar dados sensíveis a um complemento do navegador.
Se você quiser aprofundar os casos citados, recomendo-lhe ler as análises publicadas pelas próprias organizações que os desvelaram: o relatório técnico sobre a extensão que rouba sementes TOTP e exportações de Meta por parte de Socket, a reportagem de Koi Security sobre o VK Styles e o estudo LayerX sobre as falsas extensões de IA. Para um guia prático sobre riscos gerais e recomendações, este recurso formativo é útil: dicas de segurança em navegadores.
No final do dia, as extensões são ferramentas poderosas que ampliam o navegador; também podem converter-se em buracos de segurança se não forem administrados com cuidado. Manter a curiosidade técnica sem sacrificar a prudência é a melhor maneira de evitar que um simples complemento acabe significando uma lacuna maior nas suas contas ou nos dados da sua organização.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...