Mais de 30 extensões do Chrome foram comprometidas, afetando milhões de dispositivos

Enquanto muitos celebravam as festas de fim de ano, pesquisadores de segurança trabalhavam intensamente para investigar um ataque preocupante: 33 extensões de navegador no Chrome Web Store foram comprometidas, expondo dados sensíveis de aproximadamente 2,6 milhões de dispositivos.

O ataque: de spear phishing ao roubo de credenciais

A extensão de segurança Cyberhaven, usada por 400 mil dispositivos, foi atualizada com um código malicioso em 25 de dezembro de 2024. A versão maliciosa (24.10.4) ficou disponível por 31 horas, antes de ser substituída por uma atualização segura. A análise revelou que o código roubava cookies e credenciais, incluindo para domínios como facebook.com e chatgpt.com.

O comprometimento começou com um e-mail de spear phishing enviado aos desenvolvedores da extensão, alegando que ela violava os termos do Google. Um link no e-mail levou os desenvolvedores a conceder permissões ao invasor, permitindo a publicação da versão infectada diretamente no Chrome Web Store.

Outras extensões comprometidas

A Cyberhaven não foi a única afetada. Segundo John Tuckner, da Secure Annex, 19 extensões adicionais foram alvo de ataques semelhantes. No total, essas extensões tiveram 1,46 milhão de downloads, com o código malicioso sendo distribuído através de sites disfarçados. Algumas extensões comprometidas incluem:

• VPNCity
• Parrot Talks
• Uvoice
• Internxt VPN

Uma planilha detalhando os nomes, IDs e versões comprometidas pode ser encontrada aqui.

Comprometimentos em bibliotecas de código

Uma análise separada revelou que a extensão Reader Mode foi comprometida por meio de uma biblioteca de código usada para monetizar extensões. Essa biblioteca coletava dados sensíveis de navegação em troca de comissões pagas aos desenvolvedores. Ao todo, 13 extensões foram afetadas, incluindo:

• Reader Mode (300 mil usuários)
• Visual Effects for Google Meet (900 mil usuários)
• Email Hunter (100 mil usuários)

Implicações e próximos passos

Os ataques destacam como extensões podem ser um elo fraco na segurança. Para mitigar riscos, especialistas recomendam:

• Gerenciamento de ativos do navegador: Permitir apenas extensões confiáveis e especificar versões seguras.
• Alteração de credenciais: Todos os usuários das extensões comprometidas devem considerar a troca de senhas.

Além disso, é essencial que organizações reavaliem suas posturas de segurança digital, priorizando o monitoramento de extensões, mesmo as consideradas confiáveis. Mais informações e indicadores de comprometimento podem ser encontrados neste link.