Um ataque cibernético comprometeu 16 extensões do navegador Chrome, colocando mais de 600 mil usuários em risco de roubo de dados e credenciais. O ataque começou com uma campanha de phishing direcionada a desenvolvedores de extensões, permitindo que os invasores adicionassem códigos maliciosos em versões legítimas para roubar cookies e tokens de acesso. Entre as extensões afetadas estão ferramentas populares como “Reader Mode” e “Rewards Search Automator”.

A primeira vítima confirmada foi a empresa de segurança cibernética Cyberhaven. Um de seus colaboradores foi alvo de phishing em 24 de dezembro, resultando na publicação de uma versão comprometida de sua extensão. O código malicioso se conectava a servidores externos, exfiltrando dados de usuários, especialmente tokens de acesso de contas do Facebook Ads. A extensão foi retirada da Chrome Web Store 24 horas após a detecção, mas outras permanecem ativas.

Domínios associados aos ataques sugerem que a campanha pode estar em andamento desde 2021, segundo pesquisadores. Algumas extensões continham códigos que mascaravam funcionalidades maliciosas, como roubo de dados sob o pretexto de “navegação segura”. Especialistas alertam que a remoção de extensões da loja não elimina o risco, já que versões comprometidas instaladas continuam operando.

A campanha expõe vulnerabilidades nas extensões de navegador, muitas vezes negligenciadas pelos usuários, mas com permissões amplas para acessar dados sensíveis. A identidade dos invasores permanece desconhecida, e investigações continuam para identificar outros alvos e mitigar os danos.