🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Duas extensões do Google Chrome tornaram-se maliciosas após o que parece ser um caso de transferência de propriedade, oferecendo aos invasores uma maneira de enviar malware para clientes downstream, injetar código arbitrário e coletar dados confidenciais.
As extensões em questão, ambas originalmente associadas a um desenvolvedor chamado "akshayanuonline@gmail.com" (BuildMelon), estão listadas abaixo -
QuickLens - Tela de pesquisa com Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) - 7.000 usuários
ShotBird - Capturas de tela de rolagem, imagens de tweet e editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) - 800 usuários
Embora o QuickLens não esteja mais disponível para download na Chrome Web Store, o ShotBird permanece acessível no momento da escrita. ShotBird foi lançado originalmente em novembro de 2024, com seu desenvolvedor, Akshay Anu S (@AkshayAnuOnline), afirmando no X que a extensão é adequada para “criar visuais profissionais semelhantes aos de estúdio” e que todo o processamento ocorre localmente.
De acordo com uma pesquisa publicada pela monxresearch-sec, o complemento do navegador recebeu um sinalizador “Destaque” em janeiro de 2025, antes de ser repassado a um desenvolvedor diferente (“loraprice198865@gmail.com”) em algum momento do mês passado.
Na mesma linha, QuickLens foi listado para venda no ExtensionHub em 11 de outubro de 2025, por “akshayanuonline@gmail.com” apenas dois dias após sua publicação, disse John Tuckner da Anexo Security. Em 1º de fevereiro de 2026, o proprietário da extensão mudou para “support@doodlebuggle.top” na página de listagem da Chrome Web Store.
A atualização maliciosa introduzida no QuickLens em 17 de fevereiro de 2026 manteve a funcionalidade original, mas introduziu capacidades para retirar cabeçalhos de segurança (por exemplo, X-Frame-Options) de cada resposta HTTP, permitindo que scripts maliciosos injetados em uma página da web fizessem solicitações arbitrárias a outros domínios, ignorando as proteções da Política de Segurança de Conteúdo (CSP).
Além disso, a extensão continha código para identificar o país do usuário, detectar o navegador e o sistema operacional e pesquisar um servidor externo a cada cinco minutos para receber JavaScript, que é armazenado no armazenamento local do navegador e executado em cada carregamento de página, adicionando um elemento GIF![]()
1 × 1 oculto e definindo a string JavaScript como seu atributo "onload". Isso, por sua vez, faz com que o código malicioso seja executado assim que a imagem for carregada.
“O código malicioso real nunca aparece nos arquivos de origem da extensão”, explicou Tuckner. "A análise estática mostra uma função que cria elementos de imagem. É isso. As cargas são entregues do C2 e armazenadas no armazenamento local - elas só existem em tempo de execução."
Uma análise semelhante da extensão ShotBird feita pela monxresearch-sec descobriu o uso de retornos de chamada diretos para entregar código JavaScript em vez de criar uma imagem de 1x1 pixel para acionar a execução. O JavaScript foi projetado para exibir um prompt falso de atualização do navegador Google Chrome, clicando no qual os usuários recebem uma página no estilo ClickFix para abrir a caixa de diálogo Executar do Windows, iniciar "cmd.exe" e colar um comando do PowerShell, resultando no download de um executável chamado "googleupdate.exe" em hosts do Windows.
O malware então conecta a entrada, a área de texto, seleciona elementos HTML e captura todos os dados inseridos pela vítima. Isso pode incluir credenciais, PIN, detalhes do cartão, tokens e identificadores governamentais. Ele também é equipado para desviar dados armazenados no navegador Chrome, como senhas, histórico de navegação e informações relacionadas a extensões.
“Esta é uma cadeia de abuso de dois estágios: controle remoto do navegador no lado da extensão e pivô de execução no nível do host por meio de atualizações falsas”, disse o pesquisador. “O resultado é a exposição de dados de alto risco no navegador e a execução confirmada de scripts do lado do host em pelo menos um sistema afetado. Em termos práticos, isso eleva o impacto do abuso apenas do navegador ao provável roubo de credenciais e ao comprometimento mais amplo do endpoint.”
Avalia-se que o mesmo ator de ameaça está por trás do comprometimento das duas extensões e opera esses complementos em paralelo, dado o uso de um padrão de arquitetura de comando e controle (C2) idêntico, iscas ClickFix injetadas no contexto de navegação e transferência de propriedade como um vetor de infecção.
Curiosamente, o desenvolvedor da extensão original publicou várias outras extensões com seu nome na Chrome Web Store, e todas elas receberam um selo de Destaque. O desenvolvedor também tem uma conta no ExtensionHub, embora nenhuma extensão esteja listada para venda no momento. Além do mais, o indivíduo tentou vender domínios como "AIInfraStack[.]com" por US$ 2.500, afirmando que o "domínio de palavra-chave forte" é "relevante para [sic] ecossistema de IA em rápido crescimento".
“Este é, em poucas palavras, o problema da extensão da cadeia de abastecimento”, disse a Anexo Security. "Uma extensão funcional revisada e 'em destaque' muda de mãos, e o novo proprietário envia uma atualização armada para todos os usuários existentes."
A divulgação ocorre no momento em que a Microsoft w
As extensões em questão, ambas originalmente associadas a um desenvolvedor chamado "akshayanuonline@gmail.com" (BuildMelon), estão listadas abaixo -
QuickLens - Tela de pesquisa com Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) - 7.000 usuários
ShotBird - Capturas de tela de rolagem, imagens de tweet e editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) - 800 usuários
Embora o QuickLens não esteja mais disponível para download na Chrome Web Store, o ShotBird permanece acessível no momento da escrita. ShotBird foi lançado originalmente em novembro de 2024, com seu desenvolvedor, Akshay Anu S (@AkshayAnuOnline), afirmando no X que a extensão é adequada para “criar visuais profissionais semelhantes aos de estúdio” e que todo o processamento ocorre localmente.
De acordo com uma pesquisa publicada pela monxresearch-sec, o complemento do navegador recebeu um sinalizador “Destaque” em janeiro de 2025, antes de ser repassado a um desenvolvedor diferente (“loraprice198865@gmail.com”) em algum momento do mês passado.
Na mesma linha, QuickLens foi listado para venda no ExtensionHub em 11 de outubro de 2025, por “akshayanuonline@gmail.com” apenas dois dias após sua publicação, disse John Tuckner da Anexo Security. Em 1º de fevereiro de 2026, o proprietário da extensão mudou para “support@doodlebuggle.top” na página de listagem da Chrome Web Store.
A atualização maliciosa introduzida no QuickLens em 17 de fevereiro de 2026 manteve a funcionalidade original, mas introduziu capacidades para retirar cabeçalhos de segurança (por exemplo, X-Frame-Options) de cada resposta HTTP, permitindo que scripts maliciosos injetados em uma página da web fizessem solicitações arbitrárias a outros domínios, ignorando as proteções da Política de Segurança de Conteúdo (CSP).
Além disso, a extensão continha código para identificar o país do usuário, detectar o navegador e o sistema operacional e pesquisar um servidor externo a cada cinco minutos para receber JavaScript, que é armazenado no armazenamento local do navegador e executado em cada carregamento de página, adicionando um elemento GIF
“O código malicioso real nunca aparece nos arquivos de origem da extensão”, explicou Tuckner. "A análise estática mostra uma função que cria elementos de imagem. É isso. As cargas são entregues do C2 e armazenadas no armazenamento local - elas só existem em tempo de execução."
Uma análise semelhante da extensão ShotBird feita pela monxresearch-sec descobriu o uso de retornos de chamada diretos para entregar código JavaScript em vez de criar uma imagem de 1x1 pixel para acionar a execução. O JavaScript foi projetado para exibir um prompt falso de atualização do navegador Google Chrome, clicando no qual os usuários recebem uma página no estilo ClickFix para abrir a caixa de diálogo Executar do Windows, iniciar "cmd.exe" e colar um comando do PowerShell, resultando no download de um executável chamado "googleupdate.exe" em hosts do Windows.
O malware então conecta a entrada, a área de texto, seleciona elementos HTML e captura todos os dados inseridos pela vítima. Isso pode incluir credenciais, PIN, detalhes do cartão, tokens e identificadores governamentais. Ele também é equipado para desviar dados armazenados no navegador Chrome, como senhas, histórico de navegação e informações relacionadas a extensões.
“Esta é uma cadeia de abuso de dois estágios: controle remoto do navegador no lado da extensão e pivô de execução no nível do host por meio de atualizações falsas”, disse o pesquisador. “O resultado é a exposição de dados de alto risco no navegador e a execução confirmada de scripts do lado do host em pelo menos um sistema afetado. Em termos práticos, isso eleva o impacto do abuso apenas do navegador ao provável roubo de credenciais e ao comprometimento mais amplo do endpoint.”
Avalia-se que o mesmo ator de ameaça está por trás do comprometimento das duas extensões e opera esses complementos em paralelo, dado o uso de um padrão de arquitetura de comando e controle (C2) idêntico, iscas ClickFix injetadas no contexto de navegação e transferência de propriedade como um vetor de infecção.
Curiosamente, o desenvolvedor da extensão original publicou várias outras extensões com seu nome na Chrome Web Store, e todas elas receberam um selo de Destaque. O desenvolvedor também tem uma conta no ExtensionHub, embora nenhuma extensão esteja listada para venda no momento. Além do mais, o indivíduo tentou vender domínios como "AIInfraStack[.]com" por US$ 2.500, afirmando que o "domínio de palavra-chave forte" é "relevante para [sic] ecossistema de IA em rápido crescimento".
“Este é, em poucas palavras, o problema da extensão da cadeia de abastecimento”, disse a Anexo Security. "Uma extensão funcional revisada e 'em destaque' muda de mãos, e o novo proprietário envia uma atualização armada para todos os usuários existentes."
A divulgação ocorre no momento em que a Microsoft w
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #extensão #do #chrome #se #torna #maliciosa #após #transferência #de #propriedade, #permitindo #injeção #de #código #e #roubo #de #dados
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário