Voltar para todas as publicações
Publicado em · por Renaud Deraison

Quando a loja é a ameaça — 108 extensões maliciosas do Chrome, um C2, 20 000 instalações

Um único operador publicou 108 extensões maliciosas na Chrome Web Store sob cinco editoras falsas, acumulou cerca de 20 000 instalações e encaminhou tudo para um único servidor de comando e controlo. O modelo de revisão não detetou. Aqui está porque é que um navegador focado em segurança tem de assumir uma posição mais dura.

Uma extensão de navegador é um programa que você instala e que pode ler cada página que visita, ler cada token que o seu navegador guarda, e fazer coisas em seu nome. A Chrome Web Store promete avaliar esses programas. Em abril de 2026, um único operador publicou 108, colheu cerca de 20 000 instalações e encaminhou tudo por um único servidor. A loja não percebeu.

A 14 de abril, a empresa de segurança de aplicações Socket divulgou uma campanha coordenada de extensões maliciosas na Chrome Web Store. O investigador Kush Pandya encontrou 108 extensões publicadas sob cinco identidades falsas de editora — Yana Project, GameGen, SideGames, Rodeo Games e InterAlt — todas apontando para um mesmo servidor de comando e controlo (C2) em 144.126.135[.]238. No conjunto, as extensões tinham sido instaladas cerca de 20 000 vezes. The Hacker News corroborou os números no mesmo dia.

As extensões não eram apenas um aborrecimento com URLs partidas ou um pouco de fraude publicitária colada a software real. Eram um kit de ferramentas:

  • 54 extensões roubavam a identidade Google do utilizador autenticado, capturando o token Bearer OAuth2 — a cadeia curta que o Chrome envia para o identificar junto dos serviços Google — no momento em que o separador carregava.
  • 45 extensões traziam o que a Socket descreve como uma porta dos fundos universal: abriam URLs arbitrárias ao arranque do navegador, com base em comandos obtidos do C2. Isso é uma primitiva para fraude de cliques, drive-by downloads ou navegação silenciosa para uma página de exploit.
  • Outras injetavam HTML controlado pelo atacante em sites reais, removiam cabeçalhos de segurança HTTP para que o conteúdo injetado pudesse de facto ser executado, sequestravam sessões do Telegram Web num ciclo de 15 segundos, encaminhavam pedidos de tradução através do atacante, ou envolviam páginas do YouTube e TikTok em sobreposições de apostas.

O código trazia comentários em russo nos caminhos de autenticação e roubo de sessão. O investigador nota que a identidade do operador é desconhecida; a infraestrutura estava alojada num VPS Contabo com subdomínios divididos por função (recolha de identidade, execução de comandos, monetização, sequestro de sessão).

Na altura em que a notícia rebentou, nenhuma das 108 extensões tinha sido removida da Web Store.

O que é realmente uma extensão, e porque é que esta não é apenas mais uma história de malware.

A maior parte das pessoas instala extensões de navegador como instala tipos de letra: encontram uma que parece útil, clicam no botão azul e esquecem-na. A caixa de diálogo de «permissões» que por vezes aparece é um vestígio de tempos mais antigos e mais claros. No modelo atual de extensões do Chrome, uma fração muito grande das extensões reais pede algo próximo do que se segue, e o utilizador não tem qualquer forma significativa de dizer não parcialmente:

Extensão«Cursor Tails»1348 utilizadoresCada separador abertoler + modificar a páginaCookies + armazenamentopara qualquer site que visitePedidos de redeinspecionar + reescrever cabeçalhosTokens OAuth Googlea sua identidade autenticadaArranque do navegadorexecuta código a cada inícioUm único clique em Instalar concede tudo o que está acima. O navegador não volta a perguntar.
O que uma extensão de navegador pode fazer, em português claro, assim que o utilizador clicou em Instalar. Não é um bug nem um abuso — é o modelo. As extensões são programas que vivem dentro do seu navegador, e o trabalho do navegador é executá-las.

As extensões sentam-se acima da política de mesma origem, que mantém os separadores isolados uns dos outros. Esse é precisamente o objetivo delas: um bloqueador de anúncios não funcionaria se não conseguisse ler o anúncio em cada site, e um gestor de palavras-passe não funcionaria se não conseguisse observar cada formulário de login. O navegador, com toda a razão, não distingue em tempo de execução entre «bloqueador de anúncios a ler a página para esconder um banner» e «extensão maliciosa a ler a página para roubar o seu token de sessão». É a mesma capacidade, concedida por razões diferentes.

O que as 108 extensões da Socket fizeram, portanto, não é um contornar inteligente da segurança do Chrome. É o comportamento normal e documentado da plataforma de extensões, apontado ao servidor de um operador em vez de ao benefício do utilizador.

Cinco editoras falsas, um servidor, 20 000 instalações.

O que importa é a forma da campanha. Um único ator, um punhado de contas de editora fantoche, um catálogo construído para parecer superficialmente diverso — jogos de slot e de keno, «melhoradores» de YouTube e TikTok, utilitários de barra lateral do Telegram, ferramentas de tradução, decorações de cursor — todos reencaminhando para o mesmo IP. Olhadas individualmente, cada uma destas extensões parece lixo de baixa qualidade. Juntas, são uma colheita industrializada.

CINCO EDITORAS FALSASYana ProjectGameGenSideGamesRodeo GamesInterAlt108 EXTENSÕES · 20 000 INSTALAÇÕES54 raspam OAuth da Google · 45 abrem URLs ao arranque78 injetam HTML do atacante · roubo de sessão Telegram a cada 15 sC2144.126.135.238A Socket detetou o padrão. A Web Store não tinha detetado.
108 extensões, cinco nomes de editora, um único servidor de comando e controlo. O sistema de revisão aprovou cada conta e cada extensão de forma independente. Não há nenhuma camada do processo atual que olhe para o padrão.

Cinco editoras não são o limite exterior do padrão; são a sua superfície. Em paralelo com a divulgação da Socket, a empresa LayerX Security publicou uma ampliação daquilo a que chamam a campanha GhostPoster, rastreando extensões maliciosas relacionadas no Chrome, Firefox e Edge, com descargas acumuladas na ordem das centenas de milhares e origens que recuam até 2020. A lição não é que um gang específico tenha sido apanhado. A lição é que o modelo de loja de extensões — o utilizador confia na loja, a loja revê no envio, a loja confia depois sobretudo na identidade da editora — está a falhar silenciosamente, em larga escala, há anos.

A resposta da Bromure: não permitir extensões, de todo.

A Bromure é um navegador focado em segurança. Cada separador corre dentro de uma VM Linux descartável (máquina virtual — o seu próprio computador separado, apagado quando a janela fecha) no seu Mac. Dentro dessa VM instalamos o Chromium com uma política reduzida. Duas linhas dessa política interessam para esta história:

  • chrome://extensions está bloqueado.
  • chromewebstore.google.com está bloqueado.

Não há um fluxo de «avisar o utilizador e deixá-lo prosseguir», nem «definições avançadas para permitir mesmo assim», nem exceção em modo programador pela qual uma página de phishing possa guiá-lo. O utilizador não consegue chegar à Web Store a partir de uma sessão Bromure, e mesmo que já tivesse o ficheiro .crx no disco, a página de extensões não está acessível para o carregar. A superfície de ataque em que a campanha GhostPoster assenta não existe aqui.

Navegador tradicionalchromewebstore.google.comFormula Rushpor Rodeo GamesInstalarTeleside Webpor GameGenInstalarKeno Pluspor SideGamesInstalarCursor Tailspor Yana ProjectInstalarUm clique por extensão.Leitura/escrita total em cada separador a seguir.Atualização automática silenciosa e agendada.Bromurechromewebstore.google.comBLOQUEADOPOLÍTICA DO NAVEGADOR"URLBlocklist": ["chrome://extensions","chromewebstore.google.com","chrome.google.com/webstore"]Sem página de instalação.Sem loja.
A mesma loja, as mesmas 108 extensões, os mesmos 20 000 utilizadores que as teriam instalado. Num navegador tradicional, «Instalar» é um botão azul. Na Bromure, não há loja para abrir.

Isto é, para que fique claro, uma decisão de design deliberada, não um descuido. A posição da Bromure é que qualquer navegador que permita extensões instaláveis pelo utilizador é estruturalmente vulnerável a campanhas como esta. Não «vulnerável se a loja ficar permissiva». Estruturalmente vulnerável. A revisão da loja é a única coisa a separar o utilizador de um programa com acesso a toda a página, e «a revisão da loja» acaba de falhar publicamente em escala industrial, numa campanha com nome, com infraestrutura de operador com nome, com 20 000 instalações. Pedir ao utilizador que tome uma decisão melhor do que a equipa de revisão da Google não é um modelo de segurança.

A versão dura desta posição — a versão da Bromure — é remover a capacidade. Sem extensões instaláveis pelo utilizador. Sem interruptor avançado. Sem «extensões não listadas, carregadas a partir de um .crx, para utilizadores avançados». O atacante não pode explorar uma capacidade que o navegador não oferece.

O que isto custa, e porque é que o compromisso é honesto.

Sejamos honestos: é um compromisso a sério, e merece ser nomeado com clareza.

Sem uBlock Origin

A Bromure inclui uma camada própria de filtragem de conteúdo ao nível da VM e da rede, mas se usava especificamente o uBlock Origin, não o vai ter aqui. Pode ler o nosso artigo à parte sobre como a Bromure lida com publicidade; em resumo, o bloqueio de anúncios sai do navegador e passa para a infraestrutura por baixo dele.

Sem extensão 1Password, Bitwarden ou LastPass

A extensão de navegador do seu gestor de palavras-passe não se instala na Bromure. Os gestores de palavras-passe funcionam muito bem como apps nativas no seu Mac, e a maioria copia-cola ou preenche automaticamente no navegador a partir do exterior sem problema. É uma mudança de fluxo de trabalho, não uma perda de ferramenta.

Sem Grammarly, sem React DevTools, sem carteira Web3

A categoria de «extensões que adicionam uma funcionalidade à sua navegação» e a categoria de «extensões que guardam as chaves da sua vida digital» desaparecem ambas. Para a maior parte dos utilizadores, a primeira é uma pequena perda. Para programadores ou utilizadores de cripto, é maior. Se essa perda for um impedimento, a Bromure não é o seu navegador principal — e essa é uma resposta justa.

O que recebe em troca

108 extensões maliciosas não conseguem aterrar no seu Mac, porque não existe canal para as instalar. Cinco editoras falsas não conseguem enganar um processo de revisão que não existe, porque não é sequer convidado a confiar em revisores à partida. A superfície de ataque desta história — a principal — está fechada.

Uma nuance merece ser dita sem rodeios. A Bromure carrega, sim, um pequeno número de extensões próprias dentro da VM — uma ponte de credenciais para falar com o gestor de palavras-passe do seu Mac, um bloqueador de WebRTC para os casos de fuga de IP sobre os quais já escrevemos, e alguns outros auxiliares de instrumentação. Fazem parte da própria arquitetura do navegador, gravadas na imagem de disco, e não são algo que uma sessão em execução possa acrescentar ou substituir. Não são uma porta traseira para instalar extensões de utilizador; são o navegador a ser o navegador. Chamar-lhes «extensões» é nomear honestamente o mecanismo, não uma loja secreta.

O que está partido é o modelo de revisão.

É tentador ler a história das 108 extensões como uma história especificamente sobre a Google. Não é. De acordo com o rastreio mais abrangente da LayerX, a loja de add-ons da Mozilla e a loja do Edge da Microsoft albergaram campanhas relacionadas durante anos — em alguns casos começando no Edge e expandindo-se depois para o Chrome. O fator comum não é uma equipa de revisão específica. É o modelo: submeter, ser aprovado, publicar e depois empurrar atualizações automáticas para os utilizadores instalados com supervisão contínua mínima. Qualquer programa que vá correr em milhões de máquinas sob este modelo acabará, mais cedo ou mais tarde, por atrair pessoas dispostas a industrializar a falha.

É um navegador mais pequeno por causa dessa decisão. E esse é o ponto. Um navegador focado em segurança que continua a dizer sim a cada extensão da Web Store não é um navegador focado em segurança; é um navegador normal com um logótipo diferente. Quando a loja é a ameaça, a única resposta honesta é não aceitar extensões da loja. O seu Mac acabará, na nossa opinião, mais seguro.

Se quer o que a Bromure faz, instale-a e experimente-a como navegador por omissão para a metade arriscada da sua navegação — os links clicados em grupos de conversa, os resultados de pesquisa dos quais não tem muita certeza, os anexos de email de trabalho que parecem abrir sempre «uma página». Se o operador do GhostPoster ainda anda por aí, e as próximas 108 extensões aterrarem amanhã, uma sessão Bromure não saberá disso.