Grande parte do trabalho de um desenvolvedor agora ocorre no navegador, com abas para GitHub, consoles Cloud, CI/CD e ferramentas internas, todas autenticadas e abertas simultaneamente. As extensões de navegador operam sobre esse ambiente com permissões amplas, muitas vezes incluindo acesso ao conteúdo da página, requisições de rede e dados de sessão. Essa combinação as torna um dos alvos mais atraentes para atacantes.
Uma única extensão de navegador desempenhou um papel significativo na cadeia de ataque na violação da Vercel no início deste ano, e não será a última vez. Este artigo aborda como as extensões realmente funcionam, por que os controles nos quais a maioria das organizações confia são insuficientes, e o que funciona tanto no nível individual quanto organizacional.
Como as extensões de navegador funcionam e por que são vulneráveis
Serei breve nas definições, mas, em resumo, as extensões de navegador expandem a funcionalidade do seu navegador de maneiras interessantes ao instalar software com privilégios de navegador significativos.
As extensões são construídas sobre APIs web e executadas dentro do próprio processo do navegador. Um arquivo manifest.json declara quais permissões a extensão solicita no momento da instalação. Service workers em segundo plano são executados persistentemente, gerenciando requisições de rede e comunicação com servidores externos. Content scripts são injetados separadamente no DOM da página, dando à extensão acesso direto a tudo o que é renderizado no navegador.
Ao conceder a uma extensão acesso a "todos os sites", você está dando a ela acesso de leitura e escrita a todas as páginas que o navegador carrega, incluindo sessões autenticadas, entradas de formulário e respostas de API em trânsito. Elas podem ver muito. As extensões não conseguem abrir diretamente o cofre de um gerenciador de senhas, mas não precisam. Com as permissões de host e injeção de content script corretas, elas podem interceptar eventos de preenchimento automático e ler valores de campos de formulário antes do envio. Elas podem capturar credenciais enquanto você digita, se as senhas estiverem em texto simples no código-fonte HTML (o que acontece mais do que se esperaria)).
Outro problema de segurança com as extensões de navegador é que elas são atualizadas de forma silenciosa e automática, sem solicitação de consentimento. Ao contrário da maioria dos softwares que insistem para você aprovar atualizações, a única vez que uma extensão o notificará é se ela precisar de permissões adicionais além das que já possui. Uma extensão que estava limpa no mês passado poderia receber uma atualização maliciosa hoje à noite, e todo usuário com ela instalada a receberia automaticamente.
Por que as extensões de navegador estão sendo usadas para ataques?
As pessoas têm dito “o navegador é o novo desktop” desde pelo menos o lançamento do Chrome, e isso não está longe da realidade para desenvolvedores. Se isso é verdade, então as extensões são os aplicativos rodando nesse desktop, com acesso a GitHub e consoles AWS.
Cookies são uma das peças vulneráveis. Cookies de sessão podem ser exfiltrados e reutilizados, dando a um atacante acesso a tudo o que a vítima está autenticada, de qualquer lugar. Portanto, para um atacante, o acesso persistente a sessões de navegador autenticadas é bastante valioso. Glassworm é um ataque de cadeia de suprimentos em andamento que comprometeu centenas de projetos no GitHub, npm e VS Code. Em um desenvolvimento de 2026, descoberto pela equipe de pesquisa de segurança da Aikido, a campanha implantou um malware que especificamente instalou uma extensão de navegador para roubar cookies de sessão e tokens de sessões de navegador. O atacante sabia que uma extensão seria uma maneira fácil de roubar esses dados!
Também é relativamente fácil criar e publicar extensões maliciosas. Na maior parte, o processo de verificação da Chrome Web Store é mínimo, e as atualizações de extensões já publicadas recebem pouca análise após a revisão inicial. Por exemplo, pesquisadores na Índia construíram e enviaram extensões maliciosas reais para a Chrome Web Store e a Firefox Add-ons Store entre janeiro e março de 2025, e várias foram aprovadas. Eles testaram nove tipos de extensão cobrindo roubo de cookies, keylogging, captura de tela, rastreamento de histórico de navegação, ativação de câmera, injeção de anúncios e acesso à caixa de entrada do Gmail. O Firefox permitiu a passagem de quase tudo, especialmente quando o comportamento malicioso estava empacotado dentro de algo que se autodenominava uma ferramenta de produtividade.
Extensões também podem ser compradas e vendidas discretamente. O Great Suspender é o conto canônico de transferência de propriedade que deu errado. Era uma extensão de gerenciamento de abas muito querida e amplamente instalada. O autor, exausto de anos mantendo a extensão sem remuneração, a vendeu para outra pessoa (a clássica história de mantenedores subestimados). O novo proprietário lançou atualizações que introduziram rastreamento e injeção de anúncios. Quando os pesquisadores sinalizaram o novo comportamento, ele já estava em milhões de navegadores há semanas.
Quais são alguns ciberataques envolvendo extensões de navegador?
Extensões de navegador têm sido culpadas em alguns grandes ataques nos últimos anos. Algumas continham payloads maliciosos, outras foram simplesmente comprometidas.
Considere a violação da Vercel no início deste ano. Um funcionário da Vercel havia instalado anteriormente a extensão Chrome da Context.ai e concedido a ela acesso OAuth ao seu Google Workspace. Então, um funcionário da Context.ai instalou malware e comprometeu suas contas. O malware roubou credenciais e tokens OAuth armazenados no backend da Context.ai, incluindo o token OAuth da Vercel, então o atacante usou o token para invadir os sistemas internos da Vercel.
Embora outras práticas inseguras estejam em jogo aqui, como não revisar e revogar autorizações OAuth excessivamente poderosas e de longa data e variáveis de ambiente que deveriam ter sido marcadas como sensíveis, a extensão do Chrome foi o ponto de entrada. A extensão em si não era maliciosa, mas tinha acesso a dados sensíveis e foi comprometida.
A violação da Cyberhaven no final de 2024 é uma história de uma extensão que se tornou malware, onde a extensão Chrome da Cyberhaven foi comprometida por meio de um ataque de phishing em uma conta de desenvolvedor. Uma atualização maliciosa foi enviada a todos os usuários e ficou ativa por 24 horas antes que alguém a detectasse.
Em ambos os casos, o acesso à extensão do navegador foi o primeiro passo que tornou todo o resto possível.
Por que os controles de segurança de extensões de navegador falham
Muitas organizações não possuem uma política formal para extensões. As que possuem, frequentemente tentam bloquear tudo (o que desenvolvedores e pessoas com conhecimento técnico simplesmente contornam) ou dependem de uma lista de permissões mantida manualmente que está sempre um tanto desatualizada.
Manter a lista curada e atualizada apresenta algumas barreiras óbvias. Cerca de metade dos autores de extensões são desconhecidos e são validados apenas com um endereço do Gmail, e 4 de cada 5 editores têm apenas uma extensão. Portanto, gerenciar extensões com base na reputação funciona apenas para uma pequena parcela delas, e até mesmo grandes empresas publicam extensões que não são totalmente seguras.
Pesquisadores, como parte de um relatório de pesquisa anônimo, identificaram 287 extensões com um total combinado de 37,4 milhões de instalações exfiltrando histórico de navegação. A única forma de detectá-las foi por meio da análise de tráfego comportamental, portanto, apenas ler as descrições não as teria sinalizado. Muitas das extensões envolvidas eram nomes conhecidos.
Sem mencionar que as extensões podem ser atualizadas ou mudar de proprietário silenciosamente. É impossível manter-se atualizado com um processo manual de revisão de extensões.
Como proteger extensões de navegador
As extensões de navegador são de alto risco pela natureza de seu funcionamento, mas ainda temos maneiras de torná-las mais seguras, sem bani-las completamente.
Em nível individual, há algumas precauções diretas a serem tomadas:
- Verifique quais extensões estão instaladas em seu navegador agora e revise suas permissões. As extensões podem mudar ao longo do tempo sem te informar, então é uma boa ideia revisar extensões que você instalou anos atrás e não verificou desde então.
- Desinstale extensões que você não precisa ou que possuem permissões excessivamente amplas. Uma extensão que precisa de acesso a todos os sites para formatar planilhas deveria, no mínimo, levantar suspeitas. Você pode verificar quais aplicativos, incluindo extensões, têm acesso à sua conta Google na página de permissões da conta.
- Evite instalar extensões que solicitam muitas permissões. Desconfie de extensões com permissões amplas de desenvolvedores pequenos ou desconhecidos.
- Perfis de navegador podem isolar trabalho sensível da navegação geral, o que limita o raio de impacto caso algo dê errado. Mantenha seu trabalho separado do seu perfil de navegador pessoal.
- Trate as instalações de extensões com o mesmo rigor que você aplicaria a uma dependência npm. Faça sua pesquisa.
O que foi dito acima funciona bem para seu computador pessoal ou uma equipe pequena, mas isso não escala de verdade, nem é possível aplicar isso em toda uma empresa. Em nível organizacional, os sistemas eficazes são assim:
- Bloqueio pré-instalação contra um feed de Threat Intelligence em tempo real, em vez de uma lista estática atualizada manualmente por alguém
- Escaneamento contínuo de extensões para que mudanças comportamentais sejam detectadas rapidamente
- Visibilidade em toda a empresa para que você saiba o que está instalado antes que algo dê errado
- Políticas que consideram o fato de que engenharia, vendas e finanças têm perfis de risco e necessidades diferentes
- Eduque a todos sobre as melhores práticas individuais, compartilhando blogs como este e implementando treinamentos de segurança (Riot tem um bom produto para isso).
Nem todas as ferramentas de gerenciamento de dispositivos suportam este tipo de gerenciamento de extensões de navegador, então você precisa verificar os recursos da sua ferramenta MDM para ver se ela os cobre.
Aikido Endpoint é uma solução que funciona para este modelo de segurança de extensões de navegador. É um agente leve construído para a superfície de ataque de dispositivos de desenvolvedores que cobre essas bases. Ele bloqueia extensões maliciosas conhecidas antes que sejam instaladas, impõe uma retenção de 48 horas em extensões recém-publicadas e oferece às equipes de segurança visibilidade sobre o que está instalado em cada dispositivo de desenvolvedor, com controles de política em nível de equipe e um fluxo de trabalho de aprovação que mantém os desenvolvedores desbloqueados. A cobertura se estende além das extensões de navegador para npm, PyPI, extensões IDE e marketplaces de agentes de IA.
Pare o próximo ataque de extensão de navegador
A violação da Vercel não será o último incidente em que extensões de navegador farão parte da kill chain. A superfície de ataque é simplesmente muito valiosa, então tanto indivíduos quanto empresas precisam estar preparados.
O mesmo rigor aplicado às dependências de código aberto também se aplica aqui, e as organizações que o tratarem dessa forma estarão em uma posição muito melhor do que aquelas que esperam por um incidente para forçar a discussão.
Saiba mais sobre Aikido Endpoint ou explore o feed do Aikido Intel para ver o que foi detectado em todos os ecossistemas de código aberto em tempo real.
{{cta}}
FAQ
O que torna as extensões de navegador um risco de segurança?
Extensões de navegador rodam dentro do próprio processo do navegador e podem solicitar permissões amplas no momento da instalação. Uma extensão com acesso a todos os sites pode ler o conteúdo da página, interceptar requisições de rede e acessar sessões autenticadas em tudo o que você faz no navegador. Isso inclui ferramentas internas, consoles Cloud e quaisquer credenciais ou tokens que passem por uma página. O modelo de permissões é poderoso por design, e esse poder é o que torna as extensões atraentes para atacantes.
Uma extensão de navegador pode roubar minhas senhas?
Nem sempre diretamente, mas muitas vezes de forma eficaz. Extensões não conseguem abrir o cofre criptografado de um gerenciador de senhas, mas não precisam. Com as permissões de host e injeção de script de conteúdo corretas, uma extensão pode interceptar eventos de preenchimento automático e ler valores de campos de formulário antes do envio. Se as credenciais aparecerem em texto simples no código-fonte HTML em algum momento, uma extensão com acesso a scripts de conteúdo pode lê-las. Uma extensão maliciosa suficientemente privilegiada pode capturar credenciais enquanto você as digita.
As extensões de navegador atualizam automaticamente?
Sim, e sem pedir seu consentimento! Ao contrário da maioria dos softwares que solicitam sua aprovação para uma atualização, as extensões de navegador atualizam silenciosamente em segundo plano. A única exceção é quando uma atualização solicita permissões adicionais além das originalmente concedidas. Uma extensão limpa que recebe uma atualização maliciosa hoje à noite propagará essa atualização para todos os usuários automaticamente. Você não teria como saber, a menos que estivesse monitorando ativamente o comportamento da extensão.
Como posso saber se uma extensão de navegador é segura para instalar?
Não há um único sinal confiável, mas há algumas coisas que você pode verificar. Observe quais permissões a extensão solicita e se elas correspondem ao que a extensão realmente precisa fazer. Verifique se o desenvolvedor é conhecido. Em caso de dúvida, trate a decisão da mesma forma que trataria a adição de uma dependência desconhecida a uma base de código em produção.
Por que a detecção de endpoint não identifica atividades maliciosas de extensões de navegador?
A maioria das ferramentas de Endpoint Detection and Response (EDR) não detecta ameaças de extensões de navegador porque tudo o que uma extensão maliciosa faz parece o Chrome realizando atividades normais do Chrome. As requisições de rede e o acesso ao DOM ocorrem dentro do processo do navegador e são indistinguíveis da atividade legítima do navegador no nível do sistema.
Como gerenciar a segurança de extensões de navegador?
As organizações devem priorizar controles baseados em comportamento em vez de controles baseados em identidade. Manter uma lista de permissões manual de extensões aprovadas não considera atualizações silenciosas ou transferências de propriedade. O que funciona é o bloqueio pré-instalação contra um feed de Threat Intelligence continuamente atualizado, monitoramento comportamental contínuo para que as alterações em extensões já instaladas sejam detectadas, e visibilidade em toda a empresa sobre o que está realmente instalado nos dispositivos. As políticas também precisam levar em conta o fato de que engenharia, vendas e finanças têm perfis de risco e necessidades de extensão diferentes.
As extensões do Chrome são seguras? As extensões do Chrome não são inerentemente inseguras, mas carregam riscos reais por design. O modelo de permissões concede às extensões amplo acesso à atividade do navegador, e o processo de verificação da Chrome Web Store é mínimo. Uma extensão que parece inofensiva no momento da instalação pode receber uma atualização maliciosa, ser vendida a um novo proprietário ou ser comprometida através da conta de seu desenvolvedor. Ser segura ou não depende muito da extensão específica, de seu editor e das permissões que ela solicita.
As empresas podem monitorar extensões de navegador? A maioria das organizações tem visibilidade limitada sobre quais extensões estão instaladas em sua frota e o que essas extensões estão fazendo. Ferramentas MDM podem impor listas de permissões, mas não detectam mudanças comportamentais após a instalação. Ferramentas EDR perdem a maioria das atividades de extensão porque são indistinguíveis do comportamento normal do navegador no nível do sistema. Ferramentas dedicadas que residem no dispositivo e verificam as instalações contra um feed de Threat Intelligence em tempo real são a abordagem mais confiável atualmente disponível.
Como o Aikido Endpoint ajuda na segurança do navegador?
O Aikido Endpoint reside no dispositivo e inspeciona cada instalação de extensão antes que ela ocorra, bloqueando automaticamente extensões maliciosas conhecidas contra o Aikido Intel, um feed de Threat Intelligence continuamente atualizado. Ele também impõe um bloqueio de 48 horas em extensões recém-publicadas, período em que novas ameaças são mais propensas a passar despercebidas. As equipes de segurança obtêm visibilidade sobre o que está instalado em cada dispositivo de desenvolvedor, com controles de política em nível de equipe e um fluxo de trabalho de aprovação que mantém os desenvolvedores desbloqueados. O monitoramento de extensões de navegador está incluído no nível pago do Endpoint, juntamente com cobertura para npm, PyPI, extensões IDE e marketplaces de agentes de IA.
