A história se repete com uma variante mais sofisticada: pesquisadores de segurança descobriram um novo conjunto de 17 extensões do navegador ligadas à campanha conhecida como GhostPoster, que no total chegaram a acumular cerca de 840.000 instalações antes de serem retiradas das lojas oficiais. O impressionante não é apenas o volume, mas a técnica utilizada pelos atacantes: código malicioso camuflado dentro de imagens e arquivos incluídos nas próprias extensões, com fluxo de execução por etapas desenhado para contornar controles estáticos e comportamentais.
O primeiro alarme deu os analistas de Koi Security no final do ano passado, quando descreveram extensões que ocultavam JavaScript malicioso nos ícones. Esse código, uma vez ativado, descarregava cargas úteis ofuscadas de recursos externos, supervisionava a atividade de navegação, manipulava links de afiliado em grandes plataformas de comércio eletrônico e montava iframes invisíveis para gerar fraude de cliques e publicidade. Se você quiser consultar o trabalho daquele primeiro achado, você pode começar pela página de Koi Security em koi.security, onde publicam pesquisas e avisos sobre campanhas de extensões maliciosas.
Um novo relatório da plataforma de segurança browser LayerX confirma que a campanha não foi extinta após a exposição inicial e detalha as 17 extensões envolvidas nesta rodada, muitas delas com nomes que imitam funções legítimas como tradutores, bloqueadores de anúncios ou ferramentas para baixar imagens e vídeos. LayerX descobriu que alguns desses plugins há anos nos repositórios oficiais, com presença documentada desde 2020, sugerindo uma operação de longa duração que soube manter-se sob o radar. Você pode ler a análise de LayerX no seu site oficial layerx.ai, onde explicam a evolução técnica do GhostPoster.
Entre as novidades técnicas que destaca LayerX está a evolução em várias fases mais robustas: além de esconder código em ícones, os atacantes começaram a empacotar a carga maliciosa dentro de imagens incluídas na extensão e a deslocar a lógica de preparação para o script de fundo (background script) da própria extensão. Em tempo de execução, esse programa lê os 'bytes' crus da imagem procurando um delimitador concreto (o relatório menciona uma sequência como “>>>>), extrai os dados escondidos, armazena temporariamente e depois os descodificados de Base64 para executá-los como JavaScript. Este mecanismo aumenta o tempo de latência antes da ativação e complica a detecção por ferramentas que analisam apenas o conteúdo visível ou os arquivos mais evidentes.
O propósito dessa carga útil é variado e prejudicial: seguimento persistente das páginas que visitas, redireccionamento ou manipulação de ligações de afiliado para roubar comissões, e inserção invisível de iframes que geram impressões e cliques fraudulentos. Todas essas ações não só afetam a privacidade da vítima, mas também podem causar perdas econômicas a usuários, comércios e redes de publicidade. LayerX sublinha que a modularidade e o sigilo do novo padrão permitem maior dorância e resistência frente a filtros estáticos e dinâmicos.
As plataformas oficiais reagiram: segundo relatos jornalísticos, Mozilla e Microsoft já retiraram as extensões identificadas de suas lojas, e o Google confirmou a remoção das versões afetadas da Chrome Web Store. BleepingComputer cobriu a retirada e as comunicações com o Google; seu portal é uma boa referência para seguir o desfecho e ver quais extensões específicas foram removidas: bleepingcomputer.com. Ainda assim, remover uma extensão da loja não elimina sua presença nos navegadores de quem já a instalaram, pelo que o risco persiste entre usuários com instalações prévias.
Se você se preocupa ter instalado alguma destas extensões ou qualquer outro comportamento estranho no navegador, há ações concretas e úteis que você pode tomar imediatamente. Primeiro, verifique a lista de extensões instaladas e remove qualquer 'plugin' que não reconheça ou que não necessite. Os navegadores oferecem páginas de gestão de extensões com guias passo a passo: para o Chrome consultar a ajuda do Google em support.google.com, para o Firefox a documentação do Mozilla support.mozilla.org, e para Edge as instruções da Microsoft em support.microsoft.com. Após a remoção da extensão, é recomendável apagar dados locais relacionados a extensões (se o navegador o permitir), limpar cache e cookies, e, se suspeitar que dados sensíveis puderam ser comprometidos, rodar senhas e rever acessos associados a contas importantes.
Em cenários mais graves, convém também executar uma análise anti-malware atualizada, rever transações e atividade incomum em serviços relacionados à sua navegação (contas em lojas online, programas de afiliação, etc.), e, se a extensão tiver permissões amplas, considerar criar um novo perfil de navegador ou até migrar dados para uma instalação limpa para evitar restos persistentes. As equipes e administradores deveriam auditar as extensões instaladas em dispositivos corporativos, forçar políticas que limitem a instalação apenas a complementos verificados e monitorar logs de rede em busca de comunicações com domínios suspeitos utilizados para baixar cargas ofuscadas.
O caso GhostPoster mostra duas lições importantes: por um lado, a conveniência de não baixar a guarda diante de extensões aparentemente inócuas - um tradutor ou um baixador de imagens podem se tornar vetores de ataque - e, por outro, a necessidade de melhorias contínuas na vigilância das lojas de extensões e nas defesas que detectam código oculto em binários e imagens. Se você quer aprofundar o modus operandi e as recomendações técnicas, os relatórios públicos de Koi Security e LayerX são um bom ponto de partida, e os meios especializados como BleepingComputer oferecem seguimento da remediação nas lojas.
O convite final é simples: revisa suas extensões com calma, remove o desnecessário e mantenha seu navegador atualizado. As extensões fazem-nos a vida mais fácil, mas também abrem uma porta de entrada se não as gerirmos com cautela.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...