Extensões populares do Chrome foram tomadas por hackers; saiba como se proteger

Em fevereiro de 2025, a equipe de Inteligência de Ameaças do GitLab identificou pelo menos 16 extensões maliciosas do Chrome afetando mais de 3,2 milhões de usuários. Essas extensões eram originalmente legítimas, instaladas por meio das lojas oficiais do navegador e desenvolvidas por fontes confiáveis, mas posteriormente foram corrompidas por meio de ‘atualizações’ maliciosas.

A investigação determinou que esse ataque teve origem em contas de desenvolvedores comprometidas. Alguns desenvolvedores deixaram de oferecer suporte às suas extensões antes do incidente, perdendo o controle sobre elas, enquanto outros, ainda responsáveis por suas extensões, provavelmente foram enganados por kits de phishing.

As atualizações maliciosas introduziram scripts ocultos que furtivamente roubaram dados, modificaram requisições da web e injetaram anúncios em sites. Essas alterações passaram despercebidas pela maioria dos usuários, pois as extensões já possuíam as permissões necessárias, permitindo que os invasores manipulassem o conteúdo da web e as interações do usuário sem levantar suspeitas.

Quais são os riscos para os usuários?

Ainda não está claro quais danos específicos essa campanha maliciosa causou, mas permissões como ‘acesso ao host’ e ‘controles de script’ representam riscos significativos, pois possibilitam a extração de informações sensíveis, como dados de cartão de crédito, credenciais de login, tokens de autenticação e cookies — o que pode permitir que invasores assumam o controle de contas ou acessem mensagens privadas.

Além disso, as extensões podem modificar o conteúdo de páginas da web em tempo real, criando oportunidades para fraudes, como a alteração de detalhes de transações em sites bancários para enganar os usuários. Os invasores também podem injetar anúncios, redirecionar usuários para sites de phishing ou gerar cliques falsos para explorar receita publicitária.

Usuários das extensões afetadas deixaram diversos comentários na Chrome Web Store, sugerindo que as extensões começaram a agir de forma suspeita em algum momento. Entre os problemas relatados, os usuários notaram anúncios posicionados de maneira estranha, IDs de afiliados adicionados a links de serviços e problemas com o console.log — uma função integrada usada para depuração e análise de código:

Fonte: GitLab Security Tech Notes

Bloqueadores de anúncios e a questão da confiança

Um total de 16 extensões foram comprometidas, e sua lista completa está disponível na página da pesquisa. No entanto, algo que chamou a atenção foi que três delas eram bloqueadores de anúncios (Adblocker for Chrome — NoAds, Adblock for You e Adblock for Chrome).

Sendo também um bloqueador de anúncios, consideramos isso particularmente preocupante. Há cinco anos, exposmos extensões de bloqueio de anúncios 'falsas' envolvidas em fraude publicitária através da injeção de cookies de afiliados nos navegadores dos usuários. Algumas dessas extensões operavam como ‘bombas-relógio’, aguardando comandos remotos para ações ainda mais prejudiciais. Em resumo: escolher uma solução confiável para bloqueio de anúncios é fundamental, pois as consequências de uma escolha errada podem ser graves.

No caso atual, os desenvolvedores das extensões não tinham intenção maliciosa. Elas eram originalmente seguras, mas acabaram sendo comprometidas por agentes de ameaça. No entanto, como medida de precaução geral, recomendamos seguir estas diretrizes:

• Instale extensões apenas de fontes confiáveis, como lojas oficiais ou sites verificados
• Pesquise sobre o desenvolvedor antes da instalação
• Leia a política de privacidade para entender o uso dos seus dados
• Seja cauteloso ao conceder permissões, especialmente se uma extensão solicitar acesso excessivo
• Remova regularmente extensões que você não usa mais para minimizar o risco de atualizações maliciosas

Os usuários costumam conceder permissões sem compreender totalmente suas implicações, especialmente se a extensão parecer útil ou confiável. Uma vez concedidas, essas permissões permanecem ativas até que a extensão seja removida, permitindo que invasores as explorem ao longo do tempo. E como podemos ver, extensões são atualizadas automaticamente, o que significa que uma extensão confiável pode receber uma atualização maliciosa e comprometer a segurança do usuário sem qualquer aviso.

As extensões afetadas já foram removidas da Chrome Store, mas os usuários também devem excluí-las de seus dispositivos e manter-se atentos para evitar incidentes semelhantes no futuro.

Confira esta edição da nossa série TechTok para aprender mais sobre como determinar quais aplicativos e extensões são confiáveis. Fique atento e priorize a segurança nas suas escolhas!