Duas extensões populares do Google Chrome se tornaram maliciosas após uma mudança de propriedade, em um caso que expõe um problema crescente na cadeia de suprimentos de extensões de navegador. A alteração permitiu que novos operadores utilizassem essas ferramentas para injetar código malicioso, distribuir malware e coletar dados sensíveis de usuários.

As extensões afetadas são:

• QuickLens – Search Screen with Google Lens – cerca de 7 mil usuários

• ShotBird – Scrolling Screenshots, Tweet Images & Editor – cerca de 800 usuários

Ambas foram originalmente publicadas por um desenvolvedor identificado como Akshay Anu, associado ao e-mail akshayanuonline@gmail.com. No entanto, após a transferência de propriedade, atualizações maliciosas foram introduzidas.

A extensão ShotBird, lançada em novembro de 2024, foi promovida como uma ferramenta para criação de imagens e capturas de tela com qualidade profissional. Em janeiro de 2025, ela chegou a receber o selo “Featured” da Chrome Web Store, indicando destaque e confiabilidade. No entanto, no mês passado, a extensão passou para um novo proprietário identificado pelo e-mail loraprice198865@gmail.com.

Já a extensão QuickLens teve uma trajetória semelhante. Ela foi colocada à venda no marketplace ExtensionHub apenas dois dias após sua publicação em outubro de 2025. Em fevereiro de 2026, a propriedade da extensão mudou novamente, desta vez para o e-mail support@doodlebuggle.top. Pouco depois, uma atualização maliciosa foi disponibilizada para os usuários.

Atualização maliciosa permitia injeção de código e coleta de dados

A versão maliciosa da extensão QuickLens manteve suas funcionalidades originais para evitar suspeitas, mas adicionou recursos capazes de remover cabeçalhos de segurança das respostas HTTP, como o X-Frame-Options. Com isso, scripts maliciosos poderiam ser injetados em páginas web e executar requisições arbitrárias para outros domínios, burlando proteções como Content Security Policy (CSP).

Além disso, o código da extensão passou a:

• Identificar país do usuário, navegador e sistema operacional

• Conectar-se a um servidor externo a cada cinco minutos

• Baixar e executar JavaScript remoto armazenado no navegador

Para executar o código malicioso sem levantar suspeitas, a extensão criava um elemento invisível de imagem (GIF 1x1) na página. O código malicioso era então executado por meio do atributo onload dessa imagem.

Segundo a análise, o código malicioso não aparece diretamente nos arquivos da extensão, sendo entregue dinamicamente por servidores de comando e controle (C2) e executado apenas em tempo de execução.

Ataque pode evoluir de extensão maliciosa para comprometimento do sistema

No caso da extensão ShotBird, a estratégia foi diferente. O código malicioso exibia uma falsa mensagem de atualização do Google Chrome. Ao clicar no aviso, o usuário era redirecionado para uma página que instruía a abrir o Executar do Windows, executar o cmd.exe e colar um comando PowerShell.

Esse processo resultava no download de um executável chamado googleupdate.exe, que posteriormente passava a monitorar os dados digitados no navegador.

O malware era capaz de capturar informações inseridas em elementos HTML como:

• Campos de login

• Campos de texto

• Formulários

• Campos de seleção

Entre os dados coletados podem estar:

• Credenciais de acesso

• PINs

• Dados de cartão

• Tokens de autenticação

• Identificadores governamentais

O malware também tinha capacidade de extrair dados armazenados no navegador Chrome, incluindo:

• Senhas salvas

• Histórico de navegação

• Informações de extensões instaladas

Segundo a análise técnica, o ataque combina controle remoto do navegador com execução de código no sistema operacional, elevando o impacto da ameaça de um simples abuso no navegador para um possível comprometimento completo do endpoint.

Problema da cadeia de suprimentos de extensões

A investigação indica que o mesmo grupo hacker está por trás das duas extensões comprometidas, já que ambas utilizam a mesma arquitetura de servidores de comando e controle e técnicas semelhantes de ataque.

Esse caso ilustra um problema cada vez mais comum: extensões inicialmente legítimas são vendidas ou transferidas para novos proprietários que passam a distribuir atualizações maliciosas para todos os usuários existentes.

Outras extensões maliciosas também foram identificadas

Além dessas duas extensões, diversas outras ameaças recentes foram identificadas na Chrome Web Store.

Entre elas está a extensão lmToken Chromophore, que se passava por uma ferramenta de visualização de cores, mas na verdade redirecionava usuários para um site de phishing que imitava a carteira de criptomoedas imToken para roubar frases secretas (seed phrases).

Pesquisadores também identificaram extensões que:

• Interceptam pesquisas e alteram configurações do navegador

• Injetam códigos de afiliados em páginas visitadas

• Capturam conversas com chatbots de IA, como ChatGPT, Claude, Copilot, Gemini, Grok e Perplexity

Algumas extensões chegaram a se disfarçar como ferramentas de automação baseadas em IA, enquanto na prática funcionavam como trojans de acesso remoto no navegador.

Diante desse cenário, especialistas recomendam que usuários e empresas:

• Removam imediatamente extensões suspeitas

• Evitem instalar extensões de desenvolvedores desconhecidos

• Auditem regularmente as extensões instaladas no navegador

• Desconfiem de extensões que solicitam permissões excessivas

O aumento dessas campanhas evidencia o risco crescente que extensões de navegador representam para ambientes corporativos, especialmente quando utilizadas em larga escala por funcionários.