Uma grave falha na cadeia de suprimentos de extensões do Google Chrome está permitindo que ferramentas populares, algumas até com o selo “Em Destaque” da própria Google, sejam vendidas a terceiros mal-intencionados e transformadas em armas para roubar dados de milhares de usuários. Dois casos recentes envolvendo as extensões QuickLens e ShotBird expõem a vulnerabilidade, acendendo um alerta urgente para a segurança digital.
Extensões sob Ataque: QuickLens e ShotBird
As extensões em questão, desenvolvidas originalmente por Akshay Anu S (BuildMelon), eram inicialmente inofensivas e úteis. O QuickLens, que permitia buscar elementos na tela com o Google Lens, contava com 7.000 usuários. Já o ShotBird, focado em capturas de tela com scroll, edição e compartilhamento, possuía 800 usuários. Embora o QuickLens tenha sido removido da loja, o ShotBird ainda está disponível para download na Chrome Web Store, representando um risco contínuo.
O Processo de Transferência e a Ação Maliciosa
A descoberta, feita pelo pesquisador de segurança monxresearch-sec, revelou que o ShotBird foi notado como “Em Destaque” em janeiro de 2025 e, em fevereiro, foi transferido para um novo desenvolvedor (loraprice198865@gmail.com). O QuickLens seguiu um caminho similar: colocado à venda em 11 de outubro de 2025 e, em 1º de fevereiro de 2026, teve sua posse transferida para support@doodlebuggle.top.
Foi após essa transferência que as extensões se tornaram perigosas. Uma atualização do QuickLens, em 17 de fevereiro, manteve as funcionalidades originais, mas introduziu códigos maliciosos. A extensão passou a limpar cabeçalhos de segurança, permitindo a injeção de scripts perigosos. Além disso, começou a coletar dados como país do usuário, navegador e sistema operacional, e a receber instruções em JavaScript para carregar e executar malwares. O código malicioso é discreto, agindo apenas quando o usuário acessa páginas da web e não aparece na fonte do add-on.
Roubo de Dados Sensíveis: O Que Está em Risco?
O malware injetado por essas extensões é capaz de roubar uma vasta gama de informações sensíveis. Isso inclui credenciais de login, PINs, tokens de segurança e números de identidade digitados pelos usuários. Além disso, dados armazenados diretamente pelo navegador, como senhas salvas, histórico de navegação e até mesmo informações de outras extensões instaladas, também são coletados. A Annex Security, outra empresa de segurança, também investigou o caso, confirmando a gravidade da situação.
Um Problema Sistêmico: A Venda de Extensões Destacadas
A investigação revelou que o desenvolvedor original, Akshay Anu S, publicou várias outras extensões que também receberam o selo “Em Destaque” na Chrome Web Store. Ele também possuía uma conta no ExtensionHub e tentou vender vários domínios por valores significativos, baseando-se na “força da keyword dos sites”.
Para os pesquisadores de segurança, este é um problema de “cadeia de suprimentos de extensões”. Desenvolvedores criam ferramentas úteis que ganham destaque e confiança, mas depois as vendem. Os novos proprietários, então, introduzem atualizações maliciosas, transformando as extensões em ferramentas de ataque contra os usuários. Este cenário ressalta a importância de extrema cautela: mesmo extensões que parecem inofensivas e recebem destaque podem se tornar uma ameaça futura, especialmente se o desenvolvedor for pouco conhecido ou houver uma mudança de propriedade. Fique atento e revise as permissões das extensões instaladas em seu navegador.
Fonte: canaltech.com.br