Extensões Maliciosas

O GitHub confirmou que hackers acessaram 3.800 repositórios internos por meio de uma versão maliciosa da extensão Nx Console para Visual Studio Code, comprometida durante um ataque à cadeia de suprimentos da TanStack. O grupo de cibercriminosos TeamPCP é o responsável pelo ataque, que começou com a violação de pacotes npm da TanStack e Mistral AI, e se espalhou para outros projetos utilizando credenciais de CI/CD roubadas. O ataque permitiu que os invasores executassem fluxos de trabalho nos repositórios do GitHub como contribuidores. A extensão maliciosa, disponível por um curto período, tinha como objetivo roubar credenciais de diversas plataformas, incluindo npm e AWS. Embora o GitHub tenha tomado medidas para mitigar o incidente, como a rotação de segredos críticos, a equipe de segurança ainda investiga o alcance do ataque. O TeamPCP reivindicou acesso ao código-fonte do GitHub e está pedindo um resgate de pelo menos $50.000 por dados roubados. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento e a necessidade de vigilância constante na segurança de extensões de software.

O GitHub confirmou que aproximadamente 3.800 repositórios internos foram comprometidos após um de seus funcionários instalar uma extensão maliciosa no Visual Studio Code (VS Code). A empresa removeu a extensão trojanizada do marketplace e isolou o dispositivo afetado. A investigação inicial sugere que a atividade envolveu a exfiltração de repositórios internos do GitHub, sem evidências de que dados de clientes armazenados fora desses repositórios tenham sido afetados. O grupo hacker TeamPCP reivindicou o acesso ao código-fonte do GitHub e à venda de cerca de 4.000 repositórios de código privado, pedindo pelo menos US$ 50.000 pelos dados. Este incidente destaca a vulnerabilidade das extensões do VS Code, que já foram alvo de ataques anteriores, com extensões maliciosas sendo usadas para roubar credenciais de desenvolvedores. O GitHub, que abriga mais de 420 milhões de repositórios de código, é amplamente utilizado por organizações ao redor do mundo, incluindo 90% das empresas da Fortune 100.

A campanha Glassworm está em uma nova fase, visando o ecossistema OpenVSX com 73 extensões ‘dormidas’ que se tornam maliciosas após uma atualização. Seis dessas extensões já foram ativadas e estão entregando malware, enquanto as demais permanecem inativas ou suspeitas. Inicialmente, as extensões parecem benignas, mas revelam a verdadeira intenção do atacante em um estágio posterior. Os pesquisadores da empresa de segurança Socket destacam que essa estratégia é uma mudança em relação a ondas anteriores, onde o código malicioso estava embutido nas extensões. As extensões clonadas de listagens legítimas visam enganar desenvolvedores menos atentos. Elas atuam como carregadores que buscam o malware de diferentes maneiras, como através de pacotes VSIX do GitHub ou módulos compilados específicos da plataforma. Embora os detalhes técnicos do novo payload não tenham sido divulgados, ataques anteriores focaram em roubo de dados de carteiras de criptomoedas e credenciais de desenvolvedores. A Socket recomenda que desenvolvedores que instalaram essas extensões façam a rotação de segredos e limpem seus ambientes.

Pesquisadores de cibersegurança identificaram 73 extensões maliciosas no repositório Open VSX do Microsoft Visual Studio Code (VS Code), associadas a uma campanha persistente de roubo de informações chamada GlassWorm. Dentre essas extensões, seis foram confirmadas como maliciosas, enquanto as demais atuam como pacotes ‘sleeper’, que enganam os usuários a baixá-las e confiar nelas antes de revelarem sua verdadeira intenção por meio de atualizações subsequentes. Publicadas no início de abril de 2026, essas extensões clonadas imitam suas contrapartes legítimas, utilizando os mesmos ícones e descrições para confundir desenvolvedores desavisados. A campanha GlassWorm v2, monitorada pela empresa de segurança Socket, já identificou mais de 320 artefatos desde dezembro de 2025. O objetivo final dos atacantes é executar malware que evite sistemas russos, roubar dados sensíveis e instalar um trojan de acesso remoto (RAT). A abordagem atual dos atacantes envolve o uso de pacotes ‘sleeper’ e dependências transitivas para evitar detecções, além de um dropper baseado em Zig que implanta uma extensão secundária do VSIX hospedada no GitHub, afetando todos os ambientes de desenvolvimento integrados (IDEs) na máquina do desenvolvedor.

Pesquisadores da empresa de segurança Socket identificaram mais de 100 extensões maliciosas na Chrome Web Store que tentam roubar tokens de autenticação do Google OAuth2, implantar backdoors e realizar fraudes publicitárias. Essas extensões fazem parte de uma campanha coordenada que utiliza a mesma infraestrutura de comando e controle (C2). Os atacantes publicaram as extensões sob cinco identidades diferentes, abrangendo categorias como clientes de Telegram, jogos de azar e ferramentas de tradução. A campanha utiliza um backend central hospedado em um VPS da Contabo, com subdomínios dedicados a roubo de sessões e coleta de dados. Entre as extensões, uma se destaca por roubar sessões do Telegram a cada 15 segundos, permitindo que os atacantes troquem a conta do Telegram do usuário sem seu conhecimento. A Socket notificou o Google sobre a campanha, mas as extensões ainda estão disponíveis na loja. Os usuários são aconselhados a verificar suas extensões instaladas e desinstalar qualquer correspondência com as IDs publicadas pela Socket.

Pesquisadores de cibersegurança descobriram uma nova campanha envolvendo 108 extensões do Google Chrome que se comunicam com a mesma infraestrutura de comando e controle (C2) para coletar dados de usuários e permitir abusos no navegador. Essas extensões, publicadas sob cinco identidades distintas, acumulam cerca de 20.000 instalações na Chrome Web Store. A análise revelou que 54 extensões roubam identidades de contas do Google via OAuth2, enquanto 45 possuem uma porta dos fundos universal que abre URLs arbitrárias ao iniciar o navegador. Além disso, algumas extensões exfiltram sessões do Telegram a cada 15 segundos e injetam anúncios e scripts maliciosos em páginas visitadas. As extensões se disfarçam como ferramentas legítimas, como clientes do Telegram e jogos, mas na verdade capturam informações de sessão e injetam códigos maliciosos. Os usuários são aconselhados a remover essas extensões imediatamente e a desconectar suas sessões do Telegram. A análise de código revelou comentários em russo, sugerindo uma possível origem russa para os operadores.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Open VSX, que afeta o processo de verificação de extensões do Visual Studio Code (VS Code). A falha, identificada como ‘Open Sesame’, permitiu que extensões maliciosas passassem pelo processo de verificação e fossem publicadas no repositório. O problema reside em um retorno booleano que não diferencia entre ’nenhum scanner configurado’ e ’todos os scanners falharam’, levando a uma interpretação errônea dos resultados de verificação. Quando os scanners falhavam sob carga, o Open VSX considerava que não havia nada a escanear, permitindo que extensões maliciosas fossem ativadas e disponibilizadas para download. A vulnerabilidade foi explorada por atacantes que inundaram o endpoint de publicação com várias extensões maliciosas, esgotando o pool de conexões do banco de dados e impedindo que os trabalhos de verificação fossem enfileirados. A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável em fevereiro de 2026. A situação destaca a importância de um design robusto em pipelines de segurança, onde estados de falha devem ser explicitamente tratados.

Duas extensões do Google Chrome, QuickLens e ShotBird, tornaram-se maliciosas após transferências de propriedade, permitindo que atacantes injetassem malware e coletassem dados sensíveis. QuickLens, que tinha 7.000 usuários, foi descontinuada, enquanto ShotBird, com 800 usuários, ainda está disponível. A pesquisa revelou que a nova versão de QuickLens, após uma atualização maliciosa, removeu cabeçalhos de segurança e permitiu que scripts maliciosos fizessem requisições arbitrárias. Já ShotBird enganava usuários com uma falsa atualização do Chrome, levando-os a executar comandos que baixavam malware. Ambos os casos mostram um padrão de controle remoto do navegador e execução de scripts no sistema do usuário, aumentando o risco de roubo de credenciais e comprometimento de endpoints. A transferência de propriedade das extensões é vista como um vetor de infecção, destacando o problema da cadeia de suprimentos de extensões. A Microsoft também alertou sobre extensões maliciosas que se disfarçam de ferramentas legítimas, reforçando a necessidade de vigilância em ambientes corporativos.

O Relatório de Segurança dos Navegadores 2026 revela que os navegadores se tornaram o ponto de controle mais crítico e menos protegido nas empresas. Com a evolução dos navegadores nativos de IA, que passaram de ferramentas experimentais para plataformas de negócios, a forma como os usuários interagem com dados e aplicações mudou drasticamente. Em 2025, 41% dos usuários finais utilizaram pelo menos uma ferramenta de IA, mas a governança não acompanhou essa adoção, resultando em um uso fragmentado e inseguro. O relatório destaca que 54% das entradas sensíveis em aplicativos web foram enviadas para contas corporativas, enquanto 46% foram para contas pessoais, evidenciando a vulnerabilidade na proteção de dados. Além disso, ataques baseados em navegadores, como phishing e extensões maliciosas, estão se tornando mais comuns, enquanto as soluções tradicionais de segurança falham em detectar essas ameaças. O uso de extensões de navegador, muitas vezes consideradas inofensivas, representa um risco significativo, com 13% delas classificadas como de alto ou crítico risco. O relatório conclui que as estratégias de segurança precisam evoluir para incluir visibilidade e controle nativos dos navegadores, a fim de mitigar esses riscos emergentes.

Pesquisadores da Unit 42, da Palo Alto Networks, identificaram uma vulnerabilidade crítica no Google Chrome, registrada como CVE-2026-0628, que permitia a hackers escalarem privilégios e acessarem arquivos do sistema através de extensões maliciosas. A falha, já corrigida pela Google em janeiro de 2026, estava relacionada ao cumprimento inadequado das políticas da tag WebView no navegador, afetando versões anteriores à 143.0.7499.192. Um agente malicioso poderia injetar scripts em páginas privilegiadas, comprometendo o painel do Gemini Live, uma ferramenta de inteligência artificial do Google. Essa brecha, apelidada de Glic Jack, possibilitava que extensões com permissões básicas acessassem a câmera, microfone e arquivos locais do usuário. A integração do Gemini no Chrome, realizada em setembro de 2025, ampliou a superfície de ataque, tornando o navegador vulnerável a novos tipos de exploração. A descoberta da falha foi feita em 23 de novembro de 2025, e a vulnerabilidade representa um risco significativo para a segurança dos usuários do Chrome, especialmente no contexto de um aumento nas ameaças cibernéticas.

Pesquisadores da LayerX identificaram 30 extensões maliciosas para o Google Chrome que se disfarçam como assistentes de inteligência artificial (IA) com o objetivo de roubar informações sensíveis dos usuários, especialmente via Gmail. Mais de 300 mil pessoas já instalaram pelo menos uma dessas extensões, que ainda estão disponíveis na Chrome Web Store, apesar de suas atividades maliciosas. As extensões, como AI Sidebar e ChatGPT Translate, conectam-se a uma infraestrutura de domínio único, permitindo que os hackers coletem credenciais, conteúdos de e-mails e dados de navegação. Ao serem instaladas, essas ferramentas não oferecem a funcionalidade prometida, mas injetam scripts maliciosos que extraem informações em segundo plano, incluindo senhas e textos de conversas. A integração com o Gmail permite que os atacantes leiam e-mails e rascunhos, aproveitando-se da interação entre assistentes de IA e a plataforma. Essa situação representa um risco significativo para a segurança dos dados dos usuários, especialmente em um cenário onde a privacidade e a proteção de informações pessoais são cruciais.

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Google Chrome chamada CL Suite, projetada para roubar dados do Meta Business Suite e do Facebook Business Manager. Lançada em março de 2025, a extensão, que possui apenas 33 usuários, promete facilitar a coleta de dados e a geração de códigos de autenticação de dois fatores (2FA). No entanto, ela também exfiltra códigos TOTP e informações sensíveis, como listas de contatos e dados analíticos, para servidores controlados por atacantes. A extensão solicita amplo acesso aos sites da Meta e Facebook, alegando que os dados permanecem locais, mas na prática, transmite informações para um backend malicioso. Embora não roube senhas diretamente, os atacantes podem usar códigos roubados de outras fontes para acessar contas. A situação é alarmante, pois mesmo com poucos usuários, a extensão pode identificar alvos valiosos para ataques subsequentes. Além disso, uma campanha separada afetou 500 mil usuários do VKontakte, com extensões que manipulam contas e forçam assinaturas em grupos maliciosos. Outra campanha, chamada AiFrame, envolve 32 extensões de IA que coletam dados sensíveis de mais de 260 mil usuários. Essas ameaças destacam a necessidade urgente de vigilância e proteção contra extensões maliciosas.

Um conjunto de 30 extensões maliciosas do Chrome, que foram instaladas por mais de 300.000 usuários, se disfarça como assistentes de IA para roubar credenciais, conteúdo de e-mails e informações de navegação. A campanha, chamada AiFrame, foi descoberta pela plataforma de segurança de navegadores LayerX, que identificou que todas as extensões analisadas compartilham a mesma infraestrutura maliciosa, comunicando-se com o domínio tapnetic[.]pro. A extensão mais popular da campanha, chamada Gemini AI Sidebar, tinha 80.000 usuários, mas já não está mais disponível na Chrome Web Store. Outras extensões, como AI Sidebar e AI Assistant, ainda estão ativas e possuem dezenas de milhares de usuários. As extensões não implementam funcionalidades de IA localmente; em vez disso, carregam conteúdo de um domínio remoto, o que permite que os operadores alterem a lógica das extensões sem necessidade de atualização. Além disso, um subconjunto de 15 extensões visa especificamente dados do Gmail, extraindo conteúdo de e-mails e até mesmo rascunhos. LayerX alerta que, ao invocar funcionalidades relacionadas ao Gmail, o conteúdo extraído é enviado para servidores controlados pelos operadores das extensões. A pesquisa destaca a necessidade de os usuários verificarem suas contas e redefinirem senhas se forem afetados.

Pesquisadores da Koi Security descobriram que duas extensões do Visual Studio Code, chamadas ChatGPT - 中文版 e ChatMoss (CodeMoss), coletam dados de 1,5 milhão de desenvolvedores. Embora funcionem como assistentes de programação, essas ferramentas maliciosas têm acesso irrestrito aos arquivos abertos pelos usuários, registrando todas as edições e enviando essas informações para servidores na China. O spyware embutido nas extensões lê todo o documento assim que o arquivo é aberto, sem necessidade de interação do usuário. Além disso, uma backdoor permite que os atacantes coletem até 50 arquivos com um único comando, dependendo do valor da vítima. Para decidir se vale a pena roubar os arquivos, as extensões utilizam SDKs de analytics que monitoram o comportamento do programador e fazem um perfil detalhado do dispositivo. A situação destaca a necessidade de uma verificação mais rigorosa das ferramentas utilizadas por desenvolvedores, especialmente em um cenário onde as extensões maliciosas podem ter avaliações positivas e serem aprovadas em marketplaces.

Pesquisadores de cibersegurança identificaram uma campanha que utiliza extensões maliciosas do Chrome para sequestrar links de afiliados, visando roubar dados de usuários. Uma das extensões detectadas, chamada Amazon Ads Blocker, finge ser uma ferramenta de bloqueio de anúncios, mas na verdade injeta um código de afiliado do próprio desenvolvedor em links de produtos da Amazon. Isso resulta na substituição de códigos de afiliados legítimos, prejudicando influenciadores e criadores de conteúdo que dependem dessas comissões. A análise revelou que o Amazon Ads Blocker é apenas uma entre 29 extensões maliciosas que atacam diversas plataformas de e-commerce, incluindo AliExpress, Shein e Walmart. As extensões violam as políticas da Chrome Web Store, que proíbem a substituição de códigos afiliados sem divulgação. O problema é alarmante, pois os usuários não precisam realizar ações adicionais para que suas comissões sejam desviadas, tornando a situação ainda mais crítica.

Pesquisadores de cibersegurança descobriram extensões maliciosas do Google Chrome que têm a capacidade de sequestrar links de afiliados, roubar dados e coletar tokens de autenticação do OpenAI ChatGPT. Uma das extensões, chamada Amazon Ads Blocker, foi publicada na Chrome Web Store por um desenvolvedor identificado como ‘10Xprofit’ e promete bloquear anúncios na Amazon. No entanto, sua verdadeira função é injetar um código de afiliado do desenvolvedor em todos os links de produtos da Amazon, substituindo os códigos de afiliados de criadores de conteúdo. Essa prática prejudica os criadores que perdem comissões quando os usuários clicam em links alterados. Além disso, a extensão faz parte de um grupo maior de 29 complementos que visam várias plataformas de e-commerce, como AliExpress e Walmart. As extensões também foram encontradas coletando dados de produtos e enviando-os para um servidor remoto. A situação é agravada por outras extensões que roubam tokens de autenticação do ChatGPT, totalizando cerca de 900 downloads. A pesquisa destaca a necessidade de cautela ao instalar extensões, mesmo aquelas de fontes aparentemente confiáveis.

Pesquisadores da LayerX Security identificaram 16 extensões de navegador maliciosas que se disfarçam como ferramentas de produtividade para o ChatGPT, mas que têm como objetivo roubar informações e credenciais dos usuários. Essas extensões não atacam diretamente o chatbot, mas aproveitam-se do login do usuário para capturar suas credenciais. Todas as extensões foram criadas pelo mesmo autor, que as publicou em plataformas como a Chrome Web Store, onde uma delas chegou a receber o selo ‘Em Destaque’, conferindo-lhe uma aparência de legitimidade. Apesar de terem sido baixadas apenas cerca de 900 vezes, a preocupação reside na confiança que os usuários depositam em ferramentas desse tipo. Os hackers utilizam tokens de sessão, que são chaves temporárias que permitem ao navegador reconhecer um usuário logado, para se passar por eles e acessar dados sensíveis, incluindo conversas com o chatbot e informações corporativas em plataformas como Slack e Google Drive. Os pesquisadores alertam para a necessidade de tratar qualquer extensão relacionada a IA como um aplicativo de alto risco e recomendam a remoção de ferramentas não reconhecidas.

Um novo serviço de malware, operado por hackers russos sob o pseudônimo ‘Stenli’, está comercializando uma extensão falsa do Google Chrome com o objetivo de roubar informações sensíveis dos usuários. Este malware é projetado para enganar as vítimas, falsificando sites legítimos e coletando dados confidenciais, como informações bancárias. A extensão maliciosa consegue burlar o sistema de moderação da Chrome Web Store, permitindo que ela seja instalada diretamente no navegador. O preço para adquirir essa ferramenta varia entre US$ 2 mil e US$ 6 mil. A análise da Varonis revelou que a extensão utiliza um iframe para sobrepor sites legítimos com conteúdo de phishing, enquanto mantém o endereço original visível, aumentando a credibilidade do golpe. Além disso, a extensão pode enviar notificações push que parecem vir do próprio Chrome, o que dificulta a identificação do ataque. Especialistas alertam que os usuários devem verificar regularmente as extensões instaladas e estar atentos às permissões solicitadas por elas, a fim de evitar serem vítimas desse tipo de golpe.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Um novo malware como serviço (MaaS) chamado ‘Stanley’ foi identificado, oferecendo extensões maliciosas para o navegador Chrome que conseguem passar pelo processo de revisão da Chrome Web Store. Desenvolvido por um vendedor que utiliza o pseudônimo Stanley, o serviço permite a realização de ataques de phishing ao sobrepor uma página da web com um iframe em tela cheia, exibindo conteúdo malicioso. Além disso, o Stanley promete instalação silenciosa em navegadores como Chrome, Edge e Brave, e oferece suporte para personalizações. O serviço possui diferentes planos de assinatura, sendo o mais caro o Luxe Plan, que inclui um painel web e suporte completo para publicação das extensões maliciosas. A pesquisa da Varonis destaca que o malware realiza polling de comando e controle a cada 10 segundos e pode rotacionar domínios para evitar desativação. Apesar de sua simplicidade técnica, o modelo de distribuição do Stanley é preocupante, pois permite que extensões maliciosas sejam disponibilizadas em uma das maiores plataformas de complementos de navegador. Especialistas recomendam que os usuários instalem apenas extensões necessárias e verifiquem a confiabilidade dos editores.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas do Microsoft Visual Studio Code (VS Code) que se apresentam como assistentes de codificação baseados em inteligência artificial, mas que possuem funcionalidades ocultas para roubar dados de desenvolvedores e enviá-los a servidores na China. As extensões, que somam 1,5 milhão de instalações, são ‘ChatGPT - 中文版’ e ‘ChatGPT - ChatMoss（CodeMoss）’. Ambas capturam arquivos abertos e modificações de código, enviando essas informações sem o consentimento dos usuários. O código malicioso é projetado para ler o conteúdo de cada arquivo aberto, codificá-lo em formato Base64 e transmiti-lo para um servidor específico. Além disso, as extensões incluem um recurso de monitoramento em tempo real que pode ser ativado remotamente, permitindo a exfiltração de até 50 arquivos de uma vez. A descoberta foi feita pela Koi Security, que também identificou vulnerabilidades em gerenciadores de pacotes JavaScript que podem ser exploradas para contornar controles de segurança. A situação é alarmante, pois as extensões funcionam como prometido, o que reduz a desconfiança dos usuários. A Microsoft e GitHub foram alertadas sobre as falhas e a necessidade de ações corretivas para proteger a cadeia de suprimentos de software.

Duas extensões maliciosas disponíveis no Marketplace do Visual Studio Code (VSCode) foram instaladas 1,5 milhão de vezes e estão exfiltrando dados de desenvolvedores para servidores localizados na China. Ambas as extensões, apresentadas como assistentes de codificação baseados em inteligência artificial, não informam os usuários sobre a coleta de dados nem solicitam consentimento. Pesquisadores da Koi Security identificaram a campanha ‘MaliciousCorgi’, que utiliza o mesmo código para roubar informações. As extensões, ‘ChatGPT – 中文版’ e ‘ChatMoss’, empregam três mecanismos distintos para coletar dados: monitoramento em tempo real de arquivos abertos, comandos de coleta de arquivos e carregamento de SDKs de análise comercial para rastrear o comportamento do usuário. O uso dessas extensões pode expor códigos-fonte privados, arquivos de configuração e credenciais de serviços em nuvem, representando um risco significativo para a segurança dos desenvolvedores. A Microsoft foi contatada sobre a presença dessas extensões, mas ainda não se manifestou. Este incidente destaca a necessidade de vigilância constante em relação a complementos de software, especialmente aqueles que prometem funcionalidades avançadas sem transparência.

Pesquisadores da LayerX identificaram 17 novas extensões maliciosas para os navegadores Chrome, Firefox e Edge, que fazem parte da campanha GhostPoster. Essas extensões, que já somam mais de 840.000 downloads, têm como objetivo monitorar a atividade dos usuários e instalar backdoors, permitindo acesso contínuo aos computadores das vítimas. A maioria das extensões foi lançada em 2020 e, em alguns casos, o código malicioso estava oculto na logo PNG do add-on, facilitando a instalação de um payload malicioso a partir de um servidor remoto. Os atacantes implementaram uma estratégia de evasão, baixando o malware apenas 10% das vezes, o que dificulta a detecção. Entre as funcionalidades do malware, destaca-se o roubo de links de afiliados em sites de e-commerce e a injeção de monitoramento do Google Analytics em páginas visitadas. Embora as extensões tenham sido removidas das lojas oficiais, usuários ainda devem verificar se têm alguma delas instalada e removê-las imediatamente, além de limpar o cache do navegador.

Pesquisadores de cibersegurança revelaram uma campanha ativa chamada KongTuke, que utiliza uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios. Essa extensão, chamada ‘NexShield – Advanced Web Guardian’, foi projetada para travar o navegador e enganar as vítimas a executar comandos arbitrários. A extensão, que teve mais de 5.000 downloads, simula um alerta de segurança falso, levando os usuários a realizar uma ‘varredura’ que resulta em um ataque de negação de serviço (DoS) que causa o congelamento do navegador. Após a instalação, a extensão envia um ID único para um servidor controlado por atacantes, permitindo o rastreamento das vítimas. O ataque culmina na instalação de um trojan de acesso remoto (RAT) chamado ModeloRAT, que permite que os atacantes controlem os sistemas comprometidos. A campanha KongTuke destaca a evolução das táticas de engenharia social, explorando a frustração do usuário para criar um ciclo de infecção autossustentável.

Um novo conjunto de 17 extensões maliciosas associadas à campanha GhostPoster foi identificado nas lojas do Chrome, Firefox e Edge, totalizando 840.000 instalações. A campanha, inicialmente relatada em dezembro pela Koi Security, utiliza código JavaScript malicioso oculto em imagens de logotipos para monitorar a atividade do navegador e implantar uma porta dos fundos. O código busca um payload ofuscado de um recurso externo, que rastreia a navegação da vítima, sequestra links de afiliados em plataformas de e-commerce e injeta iframes invisíveis para fraudes publicitárias. Um relatório da LayerX revela que a campanha continua ativa, com algumas extensões presentes desde 2020, indicando uma operação de longo prazo. A extensão ‘Instagram Downloader’ apresenta uma variante mais avançada, movendo a lógica maliciosa para o script de fundo e utilizando um arquivo de imagem como contêiner de payload. Embora as extensões tenham sido removidas das lojas da Mozilla e Microsoft, usuários que as instalaram ainda podem estar em risco. O Google confirmou a remoção das extensões da Chrome Web Store, mas a ameaça persiste para aqueles que as mantêm em seus navegadores.

Recentemente, a empresa de cibersegurança Socket identificou uma campanha maliciosa envolvendo cinco extensões do Chrome, que se disfarçavam como ferramentas de produtividade e segurança para plataformas de recursos humanos (HR) e de planejamento de recursos empresariais (ERP) como Workday, NetSuite e SAP SuccessFactors. Essas extensões, que foram instaladas mais de 2.300 vezes, têm como objetivo roubar credenciais de autenticação e bloquear páginas de gerenciamento utilizadas para responder a incidentes de segurança.

Pesquisadores de cibersegurança identificaram cinco novas extensões maliciosas do Google Chrome que se disfarçam como plataformas de recursos humanos (RH) e planejamento de recursos empresariais (ERP), como Workday e NetSuite. Essas extensões têm como objetivo roubar tokens de autenticação, bloquear capacidades de resposta a incidentes e permitir a tomada de controle total das contas das vítimas por meio de sequestro de sessão. As extensões, publicadas por dois editores diferentes, compartilham funcionalidades idênticas e padrões de infraestrutura, sugerindo uma operação coordenada. Uma das extensões, DataByCloud Access, coleta cookies de autenticação e os envia a um servidor remoto a cada 60 segundos, enquanto Tool Access 11 bloqueia o acesso a páginas administrativas cruciais dentro do Workday. Além disso, a extensão Software Access combina o roubo de cookies com a capacidade de injetá-los diretamente no navegador da vítima, facilitando o sequestro de sessão. Os usuários do Chrome que instalaram essas extensões são aconselhados a removê-las imediatamente e a revisar suas contas em busca de acessos não autorizados.

Com a crescente integração de assistentes de IA nas atividades diárias, a segurança cibernética deve ir além da proteção dos modelos de IA. Recentes incidentes revelaram que o maior risco reside nos fluxos de trabalho que cercam esses modelos. Dois complementos do Chrome, disfarçados de assistentes de IA, foram identificados como responsáveis por roubar dados de chat de mais de 900 mil usuários do ChatGPT e DeepSeek. Além disso, pesquisadores demonstraram como injeções de comandos ocultas em repositórios de código podem enganar assistentes de codificação da IBM, fazendo com que executem malware. Esses ataques não comprometeram os algoritmos de IA, mas exploraram o contexto em que operam. À medida que as empresas utilizam IA para automatizar tarefas, a segurança deve se concentrar na proteção dos fluxos de trabalho, e não apenas nos modelos. Isso implica em entender onde a IA é utilizada, restringir acessos desnecessários e monitorar comportamentos anômalos. Ferramentas como a Reco estão surgindo para ajudar a proteger esses fluxos de trabalho em tempo real, oferecendo visibilidade e controle sobre o uso de IA nas organizações.

Pesquisadores de cibersegurança identificaram duas extensões maliciosas na Chrome Web Store que visam exfiltrar conversas do OpenAI ChatGPT e DeepSeek, além de dados de navegação, para servidores controlados por atacantes. As extensões, chamadas ‘Chat GPT for Chrome com GPT-5, Claude Sonnet & DeepSeek AI’ e ‘AI Sidebar com Deepseek, ChatGPT, Claude, e mais’, possuem juntas mais de 900 mil usuários. Elas solicitam permissões para coletar dados de navegação sob o pretexto de melhorar a experiência do usuário, mas na verdade, capturam conversas e URLs de abas abertas a cada 30 minutos. O uso de extensões de navegador para roubar dados de conversas com IA foi denominado ‘Prompt Poaching’. As extensões maliciosas se disfarçam como uma extensão legítima, mas uma vez instaladas, começam a extrair informações sensíveis, que podem ser utilizadas para espionagem corporativa, roubo de identidade e campanhas de phishing. A situação é alarmante, pois as extensões ainda estão disponíveis para download, e a instalação pode resultar em sérias consequências para a privacidade dos usuários e das empresas. A recomendação é que os usuários removam essas extensões e evitem instalar ferramentas de fontes desconhecidas.

Uma nova campanha de cibersegurança, chamada Zoom Stealer, está comprometendo a segurança de reuniões corporativas em plataformas de videoconferência como Zoom e Google Meet. Pesquisadores da Koi Security identificaram 18 extensões maliciosas que afetam cerca de 2,2 milhões de usuários em navegadores populares como Chrome, Edge e Firefox. Essas extensões, que se disfarçam como ferramentas legítimas, coletam informações sensíveis, incluindo URLs, IDs de reuniões, senhas e dados pessoais dos participantes. O grupo de hackers conhecido como DarkSpectre, que também opera o spyware ShadyPanda, é o responsável por essa operação. As informações são exfiltradas em tempo real, permitindo acesso a chamadas confidenciais e listas de participantes. O objetivo principal parece ser a espionagem corporativa, com potencial para engenharia social e venda de informações a concorrentes. Apesar de denúncias, muitas dessas extensões ainda estão disponíveis nas lojas oficiais, aumentando o risco para usuários desavisados.

Pesquisadores de cibersegurança identificaram duas extensões maliciosas do Google Chrome, ambas com o nome ‘Phantom Shuttle’, que interceptam tráfego e capturam credenciais de usuários. Publicadas por um mesmo desenvolvedor, as extensões prometem ser um plug-in de teste de velocidade de rede, mas na verdade atuam como proxies man-in-the-middle, coletando dados sensíveis. Os usuários pagam entre ¥9.9 e ¥95.9 CNY (aproximadamente R$ 1,40 a R$ 13,50) acreditando que estão adquirindo um serviço legítimo de VPN. Após a ativação, as extensões injetam credenciais de proxy em solicitações de autenticação HTTP, permitindo que os atacantes capturem informações como senhas, números de cartão de crédito e dados de navegação. A operação, que parece ter origem na China, utiliza uma infraestrutura profissional para parecer legítima, enquanto compromete a segurança dos usuários. É recomendado que os usuários removam essas extensões imediatamente e que as equipes de segurança implementem medidas de monitoramento e controle de extensões no ambiente corporativo.

Uma pesquisa da ReversingLabs revelou uma campanha de ciberataques direcionada a desenvolvedores que utilizam o Marketplace do Visual Studio Code (VS Code). Desde fevereiro de 2025, 19 extensões maliciosas foram identificadas, ocultando um trojan. O vetor de ataque foi descoberto em 2 de dezembro e envolve a manipulação de uma dependência popular chamada ‘path-is-absolute’, que possui mais de 9 bilhões de downloads. As extensões falsas, como uma versão adulterada do Prettier, foram projetadas para parecerem legítimas, mas continham código malicioso que se ativava ao abrir o VS Code. O malware se disfarça como uma imagem PNG, mas na verdade, é um arquivo que gera um erro ao ser aberto, revelando binários maliciosos. O trojan resultante, ainda em análise, utiliza a ferramenta nativa do Windows, cmstp.exe, para executar suas funções. Os usuários são aconselhados a inspecionar suas extensões, especialmente aquelas com poucos downloads ou avaliações, para evitar infecções.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas no Marketplace do Microsoft Visual Studio Code (VS Code) que visam infectar máquinas de desenvolvedores com malware do tipo stealer. As extensões, que se apresentavam como um tema escuro premium e um assistente de codificação baseado em inteligência artificial, na verdade, possuíam funcionalidades ocultas para baixar cargas adicionais, capturar telas e roubar dados. As informações coletadas eram enviadas a um servidor controlado por atacantes. As extensões identificadas foram ‘BigBlack.bitcoin-black’, que teve 16 instalações, e ‘BigBlack.codo-ai’, com 25 instalações, ambas removidas pela Microsoft em dezembro de 2025. O malware era capaz de roubar senhas de Wi-Fi, acessar o conteúdo da área de transferência e sequestrar sessões de navegador. Além disso, versões anteriores das extensões permitiam a execução de scripts PowerShell para baixar arquivos maliciosos. O ataque destaca a vulnerabilidade de ferramentas amplamente utilizadas por desenvolvedores e a necessidade de vigilância constante em relação a pacotes de software. O incidente é um alerta sobre a segurança na cadeia de suprimentos de software, especialmente em um cenário onde pacotes maliciosos também foram identificados em outras plataformas como Go e npm.

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Chrome chamada “Safery: Ethereum Wallet”, que se apresenta como uma carteira legítima de Ethereum, mas possui funcionalidades para exfiltrar as frases-semente dos usuários. Lançada na Chrome Web Store em 29 de setembro de 2025 e atualizada até 12 de novembro, a extensão ainda está disponível para download. O malware embutido na extensão é projetado para roubar frases mnemônicas de carteiras, codificando-as como endereços falsos de Sui e realizando microtransações de uma carteira controlada pelo atacante. O objetivo final é ocultar a frase-semente dentro de transações normais da blockchain, evitando a necessidade de um servidor de comando e controle. Os usuários são aconselhados a utilizar apenas extensões de carteira confiáveis e a realizar verificações em extensões que possam conter codificadores mnemônicos. A técnica utilizada pelos atacantes permite que eles mudem facilmente de cadeias e pontos de extremidade RPC, tornando as detecções convencionais ineficazes.

Um novo relatório, o Browser Security Report 2025, revela que a forma como os navegadores são utilizados nas empresas pode ser a principal fonte de ataques cibernéticos. O estudo destaca que vulnerabilidades no navegador, como extensões maliciosas e prompts enganosos, são responsáveis por muitos riscos relacionados à identidade e ao uso de inteligência artificial (IA). Quase metade dos funcionários utiliza ferramentas de IA em contas não monitoradas, aumentando a exposição a ameaças. O relatório aponta que 77% dos casos analisados envolveram cópias de dados em prompts de IA, com 82% ocorrendo em contas pessoais. Além disso, 99% dos usuários utilizam extensões, e 6% delas são consideradas maliciosas. A pesquisa alerta que 60% dos logins corporativos não utilizam autenticação única, dificultando o controle de acesso. Diante desse cenário, é crucial que as empresas adotem medidas de segurança mais rigorosas, como monitoramento de dados copiados e uso de extensões seguras, para evitar vazamentos de informações e ataques cibernéticos.

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.

Pesquisadores da SquareX alertam sobre um novo vetor de ataque que utiliza extensões maliciosas para criar barras laterais falsas em navegadores. Essas barras laterais imitam assistentes de IA legítimos e podem capturar informações sensíveis, como senhas e tokens de autenticação, sem que o usuário perceba. O ataque se dá através da injeção de JavaScript nas páginas da web, permitindo que a interface falsa sobreponha a verdadeira, dificultando a detecção. Os especialistas destacam que muitas extensões solicitam permissões amplas, como acesso a hosts e armazenamento, o que torna a análise de permissões uma estratégia de detecção menos eficaz. A crescente popularidade de navegadores com assistentes de IA pode aumentar a superfície de ataque, tornando a segurança mais desafiadora. Os usuários são aconselhados a tratar esses assistentes como recursos experimentais e evitar o manuseio de dados sensíveis. As equipes de segurança devem implementar controles mais rigorosos sobre extensões e monitorar atividades anômalas para mitigar riscos. O artigo enfatiza a necessidade de verificações de integridade da interface e uma melhor orientação sobre o uso aceitável dessas ferramentas.

Pesquisadores de cibersegurança da Socket descobriram uma campanha sofisticada de spam que envolve 131 extensões do Chrome, direcionadas a usuários do WhatsApp. Essas extensões, que compartilham códigos e infraestrutura idênticos, afetam pelo menos 20.905 usuários ativos, violando as políticas do Chrome Web Store e do WhatsApp. A operação é conduzida pela DBX Tecnologia, uma empresa brasileira que licencia versões personalizadas das extensões para revendedores, prometendo margens de lucro significativas. Apesar da diversidade de marcas, todas as extensões foram publicadas por apenas duas contas de desenvolvedor. As extensões utilizam métodos técnicos avançados para injetar código malicioso na interface do WhatsApp Web, permitindo o envio automatizado de mensagens em massa, o que contraria as políticas de consentimento do WhatsApp. A Socket já solicitou a remoção das extensões e a suspensão das contas dos desenvolvedores. A empresa recomenda que organizações adotem ferramentas de proteção para extensões do Chrome e monitorem as permissões e atualizações das extensões em uso.

Uma nova pesquisa revelou que mais de 100 extensões do Visual Studio Code (VS Code) vazaram tokens de acesso, permitindo que atacantes atualizassem essas extensões com malware, representando um risco crítico à cadeia de suprimentos de software. Os pesquisadores da Wiz identificaram mais de 550 segredos validados em mais de 500 extensões, incluindo tokens de acesso pessoal do VS Code Marketplace e do Open VSX, que poderiam ser explorados por cibercriminosos. Com uma base de instalação acumulada de 150.000, a possibilidade de distribuição de malware é alarmante. Além disso, um grupo de ameaças conhecido como TigerJack publicou extensões maliciosas que roubam código-fonte e mineram criptomoedas, utilizando uma abordagem de cavalo de Troia para enganar desenvolvedores. A Microsoft respondeu ao problema revogando os tokens vazados e implementando recursos de verificação de segredos. Os usuários do VS Code são aconselhados a limitar o número de extensões instaladas e a revisar cuidadosamente as extensões antes de baixá-las.

Nos últimos anos, os ataques cibernéticos que visam usuários em navegadores da web aumentaram de forma alarmante. Esses ataques, conhecidos como ‘browser-based attacks’, têm como objetivo comprometer aplicativos empresariais e dados, explorando a vulnerabilidade dos usuários. O phishing, por exemplo, evoluiu para um modelo multi e cross-channel, utilizando mensagens instantâneas, redes sociais e até mesmo serviços SaaS para enganar os usuários e coletar credenciais. Além disso, técnicas como ClickFix e consent phishing têm se tornado comuns, onde os atacantes induzem as vítimas a executar comandos maliciosos ou a autorizar integrações com aplicativos controlados por eles. Outro vetor preocupante são as extensões de navegador maliciosas, que podem capturar logins e credenciais. A crescente complexidade do ambiente de trabalho moderno, com a utilização de aplicativos descentralizados, torna a detecção e prevenção desses ataques ainda mais desafiadoras. As organizações precisam estar cientes dessas ameaças e implementar medidas de segurança robustas para proteger seus dados e sistemas.

Uma nova campanha de malvertising no Facebook está explorando o programa Meta Verified para roubar contas de usuários. Os atacantes, presumivelmente de origem vietnamita, criaram anúncios enganosos que prometem ensinar como obter o selo de verificação azul por meio de uma extensão de navegador maliciosa. Os anúncios, que totalizam pelo menos 37, redirecionam os usuários para um vídeo tutorial e um arquivo .CRX hospedado no Box.com. Após a instalação, a extensão injeta um script nas páginas do Facebook, interceptando cookies de sessão e enviando informações roubadas para um bot no Telegram. Além do roubo de cookies, algumas variantes da extensão conseguem acessar tokens de acesso, permitindo que os atacantes explorem contas comerciais no Facebook, que são vendidas em mercados clandestinos. Essa operação representa um ciclo de receita autossustentável, onde contas comprometidas são reutilizadas para novas campanhas maliciosas. Para se proteger, os usuários devem evitar extensões não verificadas e adotar práticas de segurança como autenticação em duas etapas e monitoramento de alertas de login.

Pesquisadores de cibersegurança descobriram uma falha no Marketplace do Visual Studio Code que permite a reutilização de nomes de extensões removidas, facilitando a criação de novas extensões maliciosas. A empresa ReversingLabs identificou uma extensão chamada ‘ahbanC.shiba’, que atua como downloader de um payload PowerShell, semelhante a extensões previamente removidas. Essas extensões maliciosas visam criptografar arquivos em pastas específicas e exigem pagamento em tokens Shiba Inu. A reutilização de nomes de extensões deletadas representa um risco significativo, pois qualquer um pode criar uma nova extensão com o mesmo nome de uma popular que foi removida. Além disso, a vulnerabilidade não é exclusiva do Visual Studio Code, já que repositórios como o Python Package Index (PyPI) também permitem essa prática. A situação é alarmante, pois os atacantes estão cada vez mais utilizando repositórios de código aberto como vetores de ataque, o que exige que organizações e desenvolvedores adotem práticas de desenvolvimento seguro e monitorem ativamente essas plataformas para evitar ameaças à cadeia de suprimentos de software.