Um ataque coordenado comprometeu pelo menos cinco extensões do navegador Google Chrome, permitindo que invasores adicionassem códigos maliciosos capazes de roubar informações sensíveis dos usuários. Entre as extensões afetadas está a ferramenta de uma importante empresa de segurança cibernética, a Cyberhaven, que detectou a violação em 24 de dezembro de 2024, após um ataque de phishing.
O ataque à Cyberhaven
A Cyberhaven, especializada em prevenção de perda de dados, foi vítima de um ataque que comprometeu a conta de um administrador na loja do Chrome. Isso possibilitou que os hackers publicassem uma versão maliciosa (v24.10.4) de sua extensão, contendo código capaz de exfiltrar sessões autenticadas e cookies para um domínio controlado pelos criminosos (cyberhavenext[.]pro).
A equipe de segurança da empresa agiu rapidamente e removeu a extensão maliciosa em menos de uma hora após a detecção. Em 26 de dezembro, uma versão limpa (v24.10.5) foi publicada, acompanhada de recomendações para os usuários, como:
- Atualizar para a nova versão da extensão;
- Alterar senhas que não utilizem autenticação FIDOv2;
- Rotacionar tokens de API;
- Verificar os logs do navegador em busca de atividades suspeitas.
A lista de clientes da Cyberhaven inclui grandes organizações como Motorola, Canon, Reddit e Snowflake, tornando o incidente ainda mais grave.
Outras extensões também foram comprometidas
Após a divulgação do ataque pela Cyberhaven, Jaime Blasco, pesquisador da Nudge Security, aprofundou a investigação e descobriu que outras extensões populares também foram comprometidas. Entre elas:
- Internxt VPN (10 mil usuários): ferramenta de navegação segura e criptografada;
- VPNCity (50 mil usuários): serviço de VPN com cobertura global;
- Uvoice (40 mil usuários): plataforma de recompensas por pesquisas e uso do PC;
- ParrotTalks (40 mil usuários): ferramenta de busca de informações e anotações.
Os invasores injetaram códigos maliciosos nessas extensões, permitindo que comandos fossem enviados remotamente. Recomenda-se que os usuários das extensões afetadas atualizem para versões seguras, publicadas após 26 de dezembro, ou as removam completamente, caso haja dúvidas sobre sua segurança.
Recomendações para os usuários
Se você utiliza alguma das extensões mencionadas ou suspeita de comportamento anômalo em seu navegador, siga as seguintes etapas:
- Desinstale as extensões suspeitas;
- Restaure as configurações padrão do navegador;
- Altere senhas de contas importantes;
- Limpe os dados do navegador, incluindo cookies e cache.
Ataques como estes ressaltam a importância de verificar a autenticidade das extensões e manter práticas rigorosas de segurança digital.
Fique por dentro das principais notícias da semana sobre tecnologia e Linux, assine nossa newsletter!