Hackers exploram extensões do Chrome para fraudes de afiliados e roubo de acesso ao ChatGPT

Pesquisadores identificaram uma campanha envolvendo extensões maliciosas do Google Chrome usadas para sequestro de links de afiliados, coleta indevida de dados e roubo de tokens de autenticação do ChatGPT. As extensões estavam disponíveis na loja oficial do navegador e se apresentavam como ferramentas legítimas para e-commerce e produtividade, explorando a confiança dos usuários nesse ecossistema.

Um dos casos mais emblemáticos é o Amazon Ads Blocker, extensão publicada em janeiro de 2026 por um desenvolvedor identificado como “10Xprofit”. Embora cumpra parcialmente o que promete bloquear anúncios , o código esconde uma função principal: injetar automaticamente o identificador de afiliado do operador da extensão em todos os links de produtos, substituindo códigos legítimos de criadores de conteúdo. Na prática, isso desvia comissões sem o conhecimento do usuário ou do afiliado original, violando políticas da Chrome Web Store e princípios básicos de consentimento.

A análise revelou que essa extensão faz parte de um cluster com pelo menos 29 add-ons voltados a plataformas como Amazon, AliExpress, Best Buy, Shein, Shopify e Walmart. Além do sequestro de links, alguns complementos coletam dados de navegação e os exfiltram para servidores externos, enquanto outros exibem temporizadores falsos de promoções para induzir compras por impulso. Segundo os Pesquisadores, a discrepância entre o que é divulgado na página da extensão e o comportamento real do código caracteriza consentimento enganoso e quebra a política de “finalidade única”.

O alerta se soma a outra descoberta relevante: extensões falsas relacionadas ao ChatGPT foram criadas para interceptar e roubar tokens de autenticação, permitindo que hackers assumam contas, acessem históricos de conversas, códigos e dados sensíveis. Ao todo, 16 extensões foram associadas a essa campanha coordenada, com sobreposição de código, identidade visual e descrições. Como muitas dessas ferramentas exigem permissões amplas no navegador, o browser passa a ser tratado como um novo endpoint crítico de ataque, especialmente em ambientes corporativos SaaS-first e BYOD.