Extensões com selo oficial do Google são vendidas a hackers e roubam dados

Duas extensões do Google Chrome passaram a ter atividades maliciosas após uma aparente transferência de posse, quando entregaram malwares aos usuários, injetaram códigos e roubaram dados sensíveis. O desenvolvedor Akshay Anu S (BuildMelon) era o proprietário original das ferramentas de navegador.

• 35 melhores extensões para o Chrome
• 5 extensões úteis para quem está de Home Office

Os addons em questão são o QuickLens, que permitia a busca de qualquer elemento na tela com o Google Lens e juntava 7.000 usuários, e o ShotBird, que permitia tirar capturas de telas com scroll e, além de twittar e editar imagens, esta com 800 usuários. Atualmente, o QuickLens caiu, mas ShotBird segue disponível para baixar na Chrome Web Store.

Extensões maliciosas e sua atividade

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A descoberta foi realizada pelo pesquisador de segurança monxresearch-sec, que notou o ShotBird nas extensões “Em Destaque” na loja do Chrome em janeiro de 2025, antes de passar para outro desenvolvedor (loraprice198865@gmail.com) em fevereiro.

O Quickens passou por um processo semelhante: ele foi listado para venda em 11 de outubro de 2025, dois dias após sua publicação, e, no primeiro dia de fevereiro deste ano, passou para o usuário support@doodlebuggle.top.

Neste segundo app, uma atualização em 17 de fevereiro manteve as funcionalidades, mas introduziu a habilidade de limpar cabeçalhos de segurança e permitir a injeção de scripts maliciosos.

A extensão também passou a coletar informações sobre o país dos usuários, navegador e sistema operacional usados e receber instruções em JavaScript para carregar imagens e executar o malware. O código malicioso não chega a aparecer na fonte do add-on, e só age quando o usuário acessa páginas da web.

O vírus em questão rouba todos os dados escritos pelo usuário, desde credenciais e PINs a tokens e números de identidade. Informações guardadas pelo navegador também são coletadas, como senhas, histórico e dados de outras extensões. A Annex Security também investigou o caso e descobriu coisas interessantes sobre o desenvolvedor original.

Várias outras extensões, todas recebendo selo Em Destaque na Chrome Web Store, foram publicadas por Akshay, que também possui uma conta no ExtensionHub, mas sem nada publicado. Ele tentou vender vários domínios por R$ 13 mil, com base na “força da keyword dos sites”.

Segundo os pesquisadores de segurança, é um problema de cadeia de suprimento de extensões: após ganhar destaque, esses add-ons são vendidos e, com atualizações maliciosas, passam a ser usados como armas contra usuários. Muito cuidado com extensões de desenvolvedores pouco conhecidos: mesmo recebendo destaque e aparentando serem inofensivas, elas podem te afetar no futuro.

Confira mais no Canaltech:

• Erro interno faz funcionário espalhar vírus invisível na Wikipédia
• FBI derruba fórum hacker e rouba dados e IPs de criminosos
• Gerar senhas com IA é seguro? O que fazer e o que NUNCA fazer

Fonte: Annex Security, MonxResearch