Um grupo de extensões maliciosas para o Google Chrome, que se faziam passar por ferramentas de produtividade e segurança voltadas para plataformas de recursos humanos e ERP empresariais, foi detectado extraindo credenciais de acesso e sabotando páginas de gerenciamento pensadas para responder a incidentes. A pesquisa foi publicada pela assinatura de cibersegurança Socket, que identificou cinco complementos dirigidos a serviços como Workday, NetSuite e SAP SuccessFactors; em conjunto somavam mais de 2.300 instalações.
Na aparência, eram utilitários concebidos para facilitar a gestão e acelerar fluxos de trabalho em ambientes corporativos: tabuleiros para gerenciar contas múltiplas, pressupostos controles de segurança ou acessos “premium” a funções. No entanto, sob essa fachada, compartilhavam um backend e padrões de código muito semelhantes, o que sugere uma operação coordenada apesar de serem publicados com diferentes nomes e marcas.
A campanha empregou três táticas principais: extração e envio de cookies de autenticação para servidores de comando e controle, manipulação do DOM para remover ou redireccionar páginas administrativas chave, e injeção bidirecional de cookies que permite tomar sessões ativas. Socket documenta que várias das extensões estavam programadas para capturar periodicamente um cookie de sessão chamado “__session” associado aos domínios-alvo – cookies contêm tokens de acesso ativos – e as transmitiam o atacante a cada minuto, o que permitia manter o controle mesmo se o usuário cerraba e voltasse a abrir sessão.
Além de roubar tokens, dois dos plugins detectados atuavam como um bloqueio deliberado de funções de resposta: mediante a detecção do título das páginas, eliminavam o conteúdo ou redirigiam os administradores fora de telas dedicadas à segurança e gestão de sessões. De acordo com os resultados, um dos suplementos interferia com dezenas de páginas administrativas (incluindo políticas de autenticação e controlo de faixas IP) e outro ampliava essa lista adicionando controles de senhas, desativação de contas, dispositivos 2FA e registros de auditoria. Interromper o acesso a essas páginas pode impedir que as equipes de segurança actuem contra uma intrusão, com consequências graves em ambientes empresariais.
A extensão com comportamento mais perigoso, publicada sob uma marca diferente, incorporava também a capacidade de injetar cookies recebidos do servidor do atacante diretamente no navegador de uma vítima. Com essa técnica, um atacante pode restaurar uma sessão autenticada sem conhecer a senha ou sortear explicitamente um fator adicional de autenticação, o que abre a porta para a tomada de controle imediata de contas críticas.
Embora o número de instalações detectadas — mais de 2.300 — não seja em massa em comparação com outras campanhas, o impacto potencial é desproporcionado: credenciais válidas para plataformas empresariais são um ativo muito valioso que pode alimentar roubos de dados em grande escala, extorsão e implantação de ransomware. Pior ainda, a declaração de privacidade e as fichas das extensões não advertiam sobre a coleta de tokens ou a alteração de páginas administrativas, pelo que as vítimas não teriam podido antecipar nem consentir esse comportamento.
Socket notificou o Google sobre extensões e, no momento da publicação do relatório, as entradas afectadas parecem ter sido eliminadas do Chrome Web Store. Ainda assim, a detecção e a retirada não revertem necessariamente o risco para quem já tenha instalado algum destes complementos: é imprescindível que os equipamentos de segurança corporativos investiguem possíveis acessos não autorizados e actuem em conformidade.
Se você acha que você usou uma dessas extensões, o razoável é informar imediatamente sua equipe de segurança, desinstalar o complemento e proceder a invalidar sessões e credenciais nas plataformas afetadas. O Google oferece instruções para gerenciar e remover extensões em seu centro de ajuda ( Como remover extensões no Chrome) e os responsáveis TI devem considerar a revogação de tokens, a mudança de senhas, a revisão de logs de acesso e a rotação de chaves ou certificados pertinentes.
Para organizações e administradores, este incidente é um lembrete de que as extensões do navegador são uma superfície de ataque que requer controles corporativos: políticas de uso, listas brancas de plugins, revisões periódicas e monitoramento de comportamentos anormais. As recomendações de agências de segurança e centros nacionais, como o NCSC do Reino Unido, oferecem diretrizes práticas para reduzir o risco associado a extensões maliciosas.
As empresas devem igualmente rever os seus processos de resposta: bloquear o acesso de administradores a ferramentas de gestão é uma técnica deliberada para impedir a contenção, pelo que a segregação de funções, o controlo rigoroso de privilégios e a capacidade de agir a partir de ambientes de administração isolados tornam-se medidas-chave. Para usuários e responsáveis pela segurança que necessitem de revisar políticas de publicação e comportamentos aceitáveis no mercado de extensões, a documentação oficial do programa da Chrome Web Store é um ponto de partida útil ( Política do Chrome Web Store).
A lição principal é simples: nem tudo o que parece uma “herramienta de gestão” é. Manter uma postura crítica contra extensões que solicitam permissões amplas e verificar fontes confiáveis antes de instalar São hábitos que hoje podem impedir que uma simples instalação se torne uma brecha que comprometa dados corporativos críticos. Para aprofundar os detalhes técnicos e ver a evidência reunida pelos pesquisadores, você pode ler o relatório completo de Socket em seu blog ( Relatório do Socket).
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...