🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
No início de dezembro de 2025, pesquisadores de segurança expuseram uma campanha de crime cibernético que sequestrou silenciosamente extensões populares dos navegadores Chrome e Edge em grande escala.
Um grupo de ameaças chamado ShadyPanda passou sete anos jogando um jogo longo, publicando ou adquirindo extensões inofensivas, deixando-as funcionar limpas por anos para construir confiança e ganhar milhões de instalações, e de repente transformando-as em malware por meio de atualizações silenciosas. No total, cerca de 4,3 milhões de usuários instalaram esses complementos antes legítimos, que de repente se tornaram desonestos com spyware e recursos de backdoor.
Essa tática era essencialmente um ataque à cadeia de suprimentos de extensões de navegador.
Os operadores do ShadyPanda até ganharam emblemas de destaque e verificados na Chrome Web Store oficial e no site de complementos do Microsoft Edge para algumas extensões, reforçando a confiança do usuário. Como as atualizações de extensões acontecem automaticamente em segundo plano, os invasores conseguiram enviar códigos maliciosos sem que os usuários percebessem nada.
Uma vez ativadas em meados de 2024, as extensões comprometidas tornaram-se uma estrutura de execução remota de código (RCE) totalmente desenvolvida dentro do navegador. Eles poderiam baixar e executar JavaScript arbitrário com acesso total aos dados e capacidades do navegador. Isso deu aos invasores uma série de poderes de spyware, desde o monitoramento de cada URL e pressionamento de tecla, até a injeção de scripts maliciosos em páginas da Web, até a exfiltração de dados e credenciais de navegação.
Um dos piores recursos era o roubo de cookies e tokens de sessão, roubando os tokens de autenticação que os sites usam para manter os usuários logados. As extensões poderiam até representar contas SaaS inteiras (como Microsoft 365 ou Google Workspace) sequestrando esses tokens de sessão.
Por que as extensões de navegador são um pesadelo de segurança SaaS
Para as equipes de segurança SaaS, a campanha da ShadyPanda nos mostra muito. Provou que uma extensão de navegador maliciosa pode efetivamente se tornar um intruso com chaves para o reino SaaS da sua empresa. Se uma extensão capturar o cookie ou token de sessão de um usuário, ela poderá desbloquear as contas desse usuário no Slack, Salesforce ou qualquer outro serviço da web ao qual ele esteja conectado.
Nesse caso, milhões de tokens de sessão roubados poderiam ter levado ao acesso não autorizado a e-mails, arquivos, mensagens de bate-papo corporativos e muito mais, tudo sem acionar os habituais alarmes de segurança. As defesas de identidade tradicionais, como MFA, foram contornadas porque a sessão do navegador já estava autenticada e a extensão estava pegando carona nela.
O risco vai além do usuário individual. Muitas organizações permitem que os funcionários instalem extensões de navegador livremente, sem o escrutínio aplicado a outros softwares. As extensões do navegador geralmente passam sem supervisão, mas podem acessar cookies, armazenamento local, sessões de autenticação na nuvem, conteúdo ativo da web e downloads de arquivos.
Isso confunde a linha entre segurança de endpoint e segurança na nuvem. Uma extensão maliciosa pode ser executada no dispositivo do usuário (um problema de endpoint), mas compromete diretamente as contas e os dados da nuvem (um problema de identidade/SaaS). ShadyPanda mostra vividamente a necessidade de unir a defesa de identidade de endpoint e SaaS: as equipes de segurança devem pensar em tratar o navegador como uma extensão da superfície de ataque SaaS.
Etapas para reduzir o risco de extensões do navegador
Então, com base em tudo isso, o que as organizações podem fazer para reduzir o risco de outra situação do ShadyPanda? Abaixo está um guia prático com etapas para reforçar suas defesas contra extensões maliciosas do navegador.
1. Aplicar listas de permissão de extensão e governança
Comece recuperando o controle sobre quais extensões podem ser executadas em seu ambiente. Realize uma auditoria de todas as extensões instaladas nos navegadores da empresa (tanto gerenciados pela empresa quanto BYOD, se possível) e remova aquelas que forem desnecessárias, não verificadas ou de alto risco.
É aconselhável exigir uma justificativa comercial para extensões que precisam de permissões amplas (por exemplo, qualquer complemento que possa ler todos os dados do site). Use ferramentas de gerenciamento de navegador corporativo para implementar uma lista de permissões para que apenas extensões aprovadas possam ser instaladas. Esta política garante que extensões novas ou desconhecidas sejam bloqueadas por padrão, eliminando a longa cauda de instalações aleatórias.
Lembre-se de que as extensões populares não são automaticamente seguras. O malware do ShadyPanda se escondeu em extensões populares e confiáveis que as pessoas usaram durante anos. Trate todas as extensões como culpadas até que se prove sua inocência, examinando-as por meio do processo de aprovação da sua equipe de segurança.
2. Trate o acesso à extensão como o acesso OAuth
Mude sua mentalidade para tratar as extensões do navegador de forma semelhante aos aplicativos em nuvem de terceiros em termos do acesso que elas concedem. Na prática, isso significa integrar a supervisão de extensões aos seus processos de gerenciamento de identidade e acesso.
Assim como você mantém um catálogo de integrações OAuth autorizadas, faça o mesmo com as extensões. Mapeie quais dados ou ações SaaS uma extensão pode tocar - por exemplo, se uma extensão pode ler tudo
Um grupo de ameaças chamado ShadyPanda passou sete anos jogando um jogo longo, publicando ou adquirindo extensões inofensivas, deixando-as funcionar limpas por anos para construir confiança e ganhar milhões de instalações, e de repente transformando-as em malware por meio de atualizações silenciosas. No total, cerca de 4,3 milhões de usuários instalaram esses complementos antes legítimos, que de repente se tornaram desonestos com spyware e recursos de backdoor.
Essa tática era essencialmente um ataque à cadeia de suprimentos de extensões de navegador.
Os operadores do ShadyPanda até ganharam emblemas de destaque e verificados na Chrome Web Store oficial e no site de complementos do Microsoft Edge para algumas extensões, reforçando a confiança do usuário. Como as atualizações de extensões acontecem automaticamente em segundo plano, os invasores conseguiram enviar códigos maliciosos sem que os usuários percebessem nada.
Uma vez ativadas em meados de 2024, as extensões comprometidas tornaram-se uma estrutura de execução remota de código (RCE) totalmente desenvolvida dentro do navegador. Eles poderiam baixar e executar JavaScript arbitrário com acesso total aos dados e capacidades do navegador. Isso deu aos invasores uma série de poderes de spyware, desde o monitoramento de cada URL e pressionamento de tecla, até a injeção de scripts maliciosos em páginas da Web, até a exfiltração de dados e credenciais de navegação.
Um dos piores recursos era o roubo de cookies e tokens de sessão, roubando os tokens de autenticação que os sites usam para manter os usuários logados. As extensões poderiam até representar contas SaaS inteiras (como Microsoft 365 ou Google Workspace) sequestrando esses tokens de sessão.
Por que as extensões de navegador são um pesadelo de segurança SaaS
Para as equipes de segurança SaaS, a campanha da ShadyPanda nos mostra muito. Provou que uma extensão de navegador maliciosa pode efetivamente se tornar um intruso com chaves para o reino SaaS da sua empresa. Se uma extensão capturar o cookie ou token de sessão de um usuário, ela poderá desbloquear as contas desse usuário no Slack, Salesforce ou qualquer outro serviço da web ao qual ele esteja conectado.
Nesse caso, milhões de tokens de sessão roubados poderiam ter levado ao acesso não autorizado a e-mails, arquivos, mensagens de bate-papo corporativos e muito mais, tudo sem acionar os habituais alarmes de segurança. As defesas de identidade tradicionais, como MFA, foram contornadas porque a sessão do navegador já estava autenticada e a extensão estava pegando carona nela.
O risco vai além do usuário individual. Muitas organizações permitem que os funcionários instalem extensões de navegador livremente, sem o escrutínio aplicado a outros softwares. As extensões do navegador geralmente passam sem supervisão, mas podem acessar cookies, armazenamento local, sessões de autenticação na nuvem, conteúdo ativo da web e downloads de arquivos.
Isso confunde a linha entre segurança de endpoint e segurança na nuvem. Uma extensão maliciosa pode ser executada no dispositivo do usuário (um problema de endpoint), mas compromete diretamente as contas e os dados da nuvem (um problema de identidade/SaaS). ShadyPanda mostra vividamente a necessidade de unir a defesa de identidade de endpoint e SaaS: as equipes de segurança devem pensar em tratar o navegador como uma extensão da superfície de ataque SaaS.
Etapas para reduzir o risco de extensões do navegador
Então, com base em tudo isso, o que as organizações podem fazer para reduzir o risco de outra situação do ShadyPanda? Abaixo está um guia prático com etapas para reforçar suas defesas contra extensões maliciosas do navegador.
1. Aplicar listas de permissão de extensão e governança
Comece recuperando o controle sobre quais extensões podem ser executadas em seu ambiente. Realize uma auditoria de todas as extensões instaladas nos navegadores da empresa (tanto gerenciados pela empresa quanto BYOD, se possível) e remova aquelas que forem desnecessárias, não verificadas ou de alto risco.
É aconselhável exigir uma justificativa comercial para extensões que precisam de permissões amplas (por exemplo, qualquer complemento que possa ler todos os dados do site). Use ferramentas de gerenciamento de navegador corporativo para implementar uma lista de permissões para que apenas extensões aprovadas possam ser instaladas. Esta política garante que extensões novas ou desconhecidas sejam bloqueadas por padrão, eliminando a longa cauda de instalações aleatórias.
Lembre-se de que as extensões populares não são automaticamente seguras. O malware do ShadyPanda se escondeu em extensões populares e confiáveis que as pessoas usaram durante anos. Trate todas as extensões como culpadas até que se prove sua inocência, examinando-as por meio do processo de aprovação da sua equipe de segurança.
2. Trate o acesso à extensão como o acesso OAuth
Mude sua mentalidade para tratar as extensões do navegador de forma semelhante aos aplicativos em nuvem de terceiros em termos do acesso que elas concedem. Na prática, isso significa integrar a supervisão de extensões aos seus processos de gerenciamento de identidade e acesso.
Assim como você mantém um catálogo de integrações OAuth autorizadas, faça o mesmo com as extensões. Mapeie quais dados ou ações SaaS uma extensão pode tocar - por exemplo, se uma extensão pode ler tudo
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #um #guia #de #risco #de #extensão #de #navegador #após #a #campanha #shadypanda
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário