Pesquisas recentes em segurança digital revelaram um padrão alarmante envolvendo extensões do Google Chrome. À primeira vista, muitas dessas ferramentas parecem legítimas e úteis. No entanto, diversas delas executam ações ocultas que beneficiam indevidamente seus desenvolvedores.
Entre os comportamentos identificados estão a substituição silenciosa de links de afiliados, a coleta sistemática de dados de navegação e, em cenários mais graves, o roubo de credenciais associadas ao ChatGPT. Além disso, apesar de essas práticas variarem em complexidade, todas compartilham o mesmo objetivo: explorar a confiança dos usuários e a flexibilidade do ecossistema de extensões do navegador.
- Leia também: Pesquisa com mais de 100 sistemas de energia revela lacunas críticas de cibersegurança em tecnologia operacional
- Leia também: Falsa Assistente de Programação com IA “Moltbot” No VS Code Marketplace Instala Malware e Compromete Desenvolvedores
- Leia também: Google interrompe o funcionamento da IPIDEA — Uma das maiores redes de proxy residencial do mundo
Como extensões exploram programas de afiliados sem consentimento
Uma das descobertas mais relevantes envolve extensões que interferem diretamente em links de compras online. Por exemplo, pesquisadores citaram o Amazon Ads Blocker, publicado na Chrome Web Store em janeiro de 2026 por um desenvolvedor identificado como 10Xprofit.
A extensão realmente bloqueia anúncios. Entretanto, o complemento também modifica automaticamente links da Amazon. Nesse processo, o código insere uma tag de afiliado pertencente ao criador da extensão, sem qualquer aviso ao usuário.
Além disso, a alteração ocorre independentemente da origem do link. Quando já existe um código de afiliado legítimo, a extensão o substitui. Caso contrário, ela adiciona um novo identificador. Como consequência, comissões que deveriam ir para criadores de conteúdo ou parceiros comerciais acabam sendo desviadas de forma silenciosa.
Um ecossistema maior do que o inicialmente identificado
A investigação não se limitou a um único complemento. Na prática, os pesquisadores identificaram 29 extensões executando práticas semelhantes em plataformas como AliExpress, Amazon, Best Buy, Shein, Shopify e Walmart.
Muitas dessas ferramentas se apresentam como utilitários comuns, incluindo rastreadores de preços, conversores de moeda e geradores de faturas. Por isso, o comportamento abusivo passa despercebido pela maioria dos usuários.
Além disso, as descrições publicadas na Chrome Web Store frequentemente minimizam ou distorcem o funcionamento real dessas extensões. Em vários casos, os desenvolvedores afirmam que só recebem comissão quando o usuário utiliza cupons. Ainda assim, eles omitem completamente a modificação automática de links.
Extensões identificadas pelos pesquisadores
As análises confirmaram que o Amazon Ads Blocker integra um grupo maior de 29 extensões que visam plataformas de comércio eletrônico. Entre elas, destacam-se:
- Gerador de Faturas AliExpress (GRATUITO) – AliInvoice™️
- Rastreador de preços do AliExpress – Histórico de preços e alertas
- Conversor rápido de moedas e preços do AliExpress
- Contagem regressiva de ofertas do AliExpress
- 10Xprofit – Ferramentas para vendedores da Amazon
- Bloqueador de anúncios da Amazon
- Pesquisa de ASIN da Amazon 10Xprofit
- Extrator de dados de produtos da Amazon
- Amazon Image Downloader
- Verificador de estoque da Amazon
- Calculadora de Lucro da Amazon Lite
- Pesquisa por imagem na Best Buy
- Busca por imagem na SHEIN
- Pesquisa por imagem no Shopify
- Pesquisa Walmart por imagem
Segundo o pesquisador Kush Pandya, essa discrepância cria uma falsa sensação de consentimento. Consequentemente, ela também viola diretrizes básicas estabelecidas pelo Google.
Coleta de dados e manipulação do comportamento de compra
As extensões também coletam dados de produtos e exfiltram essas informações para o domínio app.10xprofit[.]io. Além disso, aquelas focadas no AliExpress exibem cronômetros falsos de “OFERTA POR TEMPO LIMITADO” nas páginas de produtos.
Desse modo, elas criam uma sensação artificial de urgência e pressionam os usuários a concluir compras rapidamente. Como resultado, os desenvolvedores aumentam as chances de gerar comissões por meio de links de afiliados.
De acordo com a empresa de segurança Socket, extensões que combinam funcionalidades não relacionadas — como bloqueio de anúncios, comparação de preços e busca de cupons — com injeção automática de afiliados devem ser tratadas como alto risco, principalmente quando suas divulgações não refletem o comportamento real do código.
Outras extensões envolvidas em roubo de dados
Paralelamente, a Symantec, empresa pertencente à Broadcom, identificou quatro extensões diferentes que, juntas, somam mais de 100 mil usuários e foram projetadas para roubar dados sensíveis.
Entre elas estão:
- Good Tab, que concede permissões completas de leitura e gravação da área de transferência a um domínio externo.
- Proteção Infantil, que coleta cookies, injeta anúncios e executa JavaScript arbitrário ao se comunicar com servidores remotos.
- DPS Websafe, que altera o mecanismo de busca padrão para capturar termos digitados pelos usuários e, posteriormente, redirecioná-los.
- Stock Informer, que apresenta uma vulnerabilidade conhecida de cross-site scripting (XSS) no plugin Stockdio Historical Chart para WordPress (CVE-2020-28707).
Roubo de acesso ao ChatGPT amplia o impacto
Além do abuso comercial, pesquisadores identificaram 16 extensões adicionais voltadas à captura de tokens de autenticação do ChatGPT. Esses tokens permitem acesso direto às contas, sem a necessidade de login tradicional.
Nesse método, os atacantes injetam scripts nas páginas do serviço da OpenAI. Assim que o usuário acessa o ChatGPT, as extensões coletam as credenciais e as enviam para servidores externos.
Para enganar ainda mais, essas ferramentas se disfarçam como organizadores de conversas, exportadores de histórico ou gerenciadores de prompts.
O que esse caso revela sobre extensões de navegador
Todo esse conjunto de descobertas reforça um alerta recorrente no setor de segurança digital. Em resumo, extensões de navegador continuam sendo um vetor altamente eficaz para atividades maliciosas.
Funcionalidades aparentemente simples podem esconder rotinas complexas de coleta de dados, monetização indevida e comprometimento de contas.
Por isso, especialistas recomendam atenção redobrada às permissões solicitadas e revisões periódicas das extensões instaladas.
Fonte: The Hacker News –https://thehackernews.com/2026/01/researchers-uncover-chrome-extensions.html
