Extensões

A extensão do Chrome chamada ‘QuickLens - Search Screen with Google Lens’ foi removida da Chrome Web Store após ser comprometida para distribuir malware e tentar roubar criptomoedas de milhares de usuários. Originalmente, a extensão permitia que os usuários realizassem buscas com o Google Lens diretamente no navegador e contava com cerca de 7.000 usuários. No entanto, em 17 de fevereiro de 2026, uma nova versão foi lançada, contendo scripts maliciosos que introduziram ataques ClickFix e funcionalidades de roubo de informações. Pesquisadores de segurança relataram que a extensão mudou de propriedade e, em seguida, recebeu uma atualização que solicitava novas permissões de navegador e removia cabeçalhos de segurança, facilitando a execução de scripts maliciosos. A extensão se comunicava com um servidor de comando e controle, coletando dados do usuário e tentando roubar informações de carteiras de criptomoedas. Os usuários afetados foram aconselhados a remover a extensão, escanear seus dispositivos em busca de malware e redefinir senhas. Este incidente destaca a vulnerabilidade de extensões populares e a necessidade de vigilância constante por parte dos usuários e administradores de segurança.

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades em quatro extensões populares do Microsoft Visual Studio Code (VS Code), que, se exploradas, podem permitir que atacantes roubem arquivos locais e executem códigos remotamente. As extensões afetadas, que somam mais de 125 milhões de instalações, incluem Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview. As vulnerabilidades identificadas são: CVE-2025-65717, que permite a exfiltração de arquivos locais através de um site malicioso; CVE-2025-65716, que possibilita a execução de JavaScript arbitrário via arquivos markdown; e CVE-2025-65715, que permite a execução de código ao manipular o arquivo ‘settings.json’. A vulnerabilidade no Microsoft Live Preview foi corrigida silenciosamente pela Microsoft. Para mitigar os riscos, recomenda-se desabilitar extensões não essenciais, evitar configurações não confiáveis e manter um firewall ativo. A pesquisa destaca que uma única extensão maliciosa pode comprometer toda uma organização, tornando a segurança das extensões uma prioridade crítica para desenvolvedores e empresas.

Pesquisadores da Ox Security identificaram vulnerabilidades de alta a crítica em extensões populares do Visual Studio Code (VSCode), que foram baixadas mais de 128 milhões de vezes. As falhas afetam as extensões Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) e Microsoft Live Preview. Essas vulnerabilidades podem ser exploradas para roubar arquivos locais e executar código remotamente. O CVE-2025-65717, por exemplo, permite que um atacante roube arquivos locais ao direcionar a vítima a uma página maliciosa. Já o CVE-2025-65715 possibilita a execução remota de código ao manipular o arquivo de configuração da extensão. Os pesquisadores tentaram alertar os mantenedores das extensões desde junho de 2025, mas não obtiveram resposta. A Ox Security recomenda que os desenvolvedores evitem executar servidores localhost desnecessários e que removam extensões não confiáveis, além de monitorar alterações inesperadas nas configurações. Essas falhas representam um risco significativo para ambientes corporativos, podendo levar a movimentos laterais na rede e exfiltração de dados sensíveis.

A Fundação Eclipse, responsável pelo Open VSX Registry, anunciou a implementação de checagens de segurança antes da publicação de extensões para o Visual Studio Code (VS Code). Essa mudança visa combater ameaças à cadeia de suprimentos, passando de uma abordagem reativa, que apenas remove extensões maliciosas após a publicação, para uma abordagem proativa. Christopher Guindon, diretor de desenvolvimento de software da fundação, destacou que a estratégia atual não é escalável diante do aumento do volume de publicações e da evolução dos modelos de ameaça. O Open VSX Registry tem sido alvo de ataques, como a recente exploração de uma conta de editor comprometida para distribuir atualizações maliciosas. As novas checagens pré-publicação buscarão identificar casos claros de imitação de nomes de extensões, credenciais acidentalmente publicadas e padrões maliciosos conhecidos. Embora a Microsoft já utilize um processo de verificação semelhante em seu Visual Studio Marketplace, a Fundação Eclipse planeja implementar essas checagens de forma gradual durante fevereiro de 2026, com o objetivo de aumentar a segurança e a confiança na plataforma. Essa iniciativa é crucial para proteger desenvolvedores e garantir um ecossistema mais seguro para extensões de código aberto.

Pesquisadores de segurança da Koi alertaram sobre um risco significativo em forks populares do Microsoft Visual Studio Code (VS Code), como Cursor e Windsurf. Esses ambientes de desenvolvimento integrados (IDEs) recomendam extensões que não estão registradas no Open VSX, o que pode permitir que atacantes publiquem pacotes maliciosos sob esses nomes. A recomendação de extensões pode ocorrer de duas formas: notificações quando arquivos específicos são abertos ou sugestões baseadas em programas já instalados. O problema é que as extensões recomendadas não existem no Open VSX, e qualquer um pode registrar esses nomes e carregar o que quiser. Um exemplo é a extensão PostgreSQL, que atraiu mais de 500 instalações, levando a um risco de roubo de dados sensíveis. Após a divulgação responsável, algumas plataformas já implementaram correções, e o Eclipse Foundation removeu contribuições não oficiais do Open VSX. Este incidente destaca a necessidade de cautela ao baixar pacotes e a importância de verificar a origem das extensões recomendadas.

Uma nova campanha de malware, chamada GhostPoster, tem afetado usuários do navegador Firefox ao utilizar logos de 17 extensões legítimas para disseminar um software malicioso. Segundo a Koi Security, essas extensões foram baixadas mais de 50 mil vezes antes de serem desativadas. O malware é projetado para rastrear as atividades dos usuários e realizar fraudes, como sequestrar links de afiliados e injetar códigos de rastreamento. Os hackers se aproveitam de ícones de VPNs, bloqueadores de anúncios e ferramentas populares, como versões falsas do Google Tradutor, para enganar os usuários. Após a instalação, o malware analisa o sistema em busca de um marcador específico e se conecta a um servidor externo, iniciando uma série de ações maliciosas, como a interceptação de links de e-commerce e a criação de perfis falsos no Google Analytics. O software malicioso opera de forma furtiva, com um loader que espera até 48 horas entre as tentativas de busca, dificultando sua detecção. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a eficácia das medidas de proteção existentes.

O Relatório de Segurança de Navegadores 2025 revela que a maioria dos riscos relacionados a identidade, SaaS e inteligência artificial (IA) converge no navegador do usuário, criando uma nova superfície de ameaça. Com quase metade dos funcionários utilizando ferramentas de IA generativa (GenAI) fora da supervisão de TI, 77% deles colam dados em prompts de IA, sendo que 82% dessas colagens vêm de contas pessoais. Além disso, 99% dos usuários corporativos têm extensões instaladas, muitas das quais não são geridas adequadamente, aumentando o risco de vazamentos de dados. Os navegadores de IA, que integram modelos de linguagem diretamente na camada de navegação, também representam uma nova superfície de ataque, permitindo que dados sensíveis sejam processados sem controle. O relatório destaca que as ferramentas tradicionais de segurança, como DLP e EDR, não são suficientes para monitorar essas atividades, pois não inspecionam o que acontece dentro das sessões de navegação. Para mitigar esses riscos, é necessário adotar controles nativos de sessão que ofereçam visibilidade e proteção em tempo real, sem comprometer a experiência do usuário.

A Mozilla anunciou novas exigências de transparência para a coleta de dados por extensões do Firefox, que entrarão em vigor em 3 de novembro de 2025. Todas as extensões recém-submetidas deverão declarar se coletam ou transmitem dados pessoais diretamente no arquivo de configuração manifest.json. Essa medida visa aumentar a conscientização dos usuários sobre como as extensões lidam com informações sensíveis. Os desenvolvedores deverão utilizar a chave browser_specific_settings.gecko.data_collection_permissions para especificar suas práticas de coleta de dados, sendo que extensões que não coletam dados devem declarar isso explicitamente. As informações sobre a coleta de dados serão exibidas durante o processo de instalação da extensão e também nas páginas de listagem no addons.mozilla.org e na seção Permissões e Dados da página about:addons do Firefox. Embora as novas regras se apliquem apenas a extensões novas, a Mozilla planeja expandir essas exigências para todas as extensões até o primeiro semestre de 2026. Essa iniciativa reflete o compromisso da Mozilla com a proteção da privacidade dos usuários e a necessidade de um design de navegador centrado na privacidade.