🔒Extensões do Chrome são um risco sério de segurança
O desenvolvedor Pieter Levels (Levelsio) fez um alerta importante: extensões populares do Chrome estão sendo compradas por criminosos que adicionam código malicioso depois da compra. --- O esquema funciona assim: o dono de uma extensão popular recebe uma oferta gorda pra vender. Aceita. O comprador então injeta código que rouba cookies, dados de acesso e tudo mais que a extensão consegue acessar no navegador de milhões de pessoas. --- A dica dele: crie suas próprias extensões usando IA em vez de instalar extensões de terceiros. É mais seguro e, com as ferramentas de hoje, surpreendentemente fácil.
Chrome extensions are so incredibly unsafe Malware criminals find popular ones, pay the owners of the extension lots of money, they add malware to the code and millions of people get infected Then they take your cookies, localStorage, anything they can access Which is why in locked down advanced security devices you can't even install Chrome extensions I mostly run uBlock Origin, but have some others that I'll just vibecode now to stay safe
— @levelsio View on X
Extensões do Chrome vendem acesso a milhões de usuários
Criminosos estão compr extensões populares do Chrome, injetando malware e roubando dados de milhões de pessoas. O alerta vem do desenvolvedor Pieter Levels, que recomenda criar próprias extensões em vez de confiar em soluções de terceiros.
O esquema funciona de forma simples e eficiente para os atacantes. Primeiro, os criminosos identificam extensões com milhões de usuários ativos. Depois, oferecem quantias significativas aos desenvolvedores originais pela transferência de propriedade. Com o controle da extensão em mãos, eles inserem código malicioso que acessa cookies, localStorage e outros dados armazenados no navegador. Como a extensão já tem permissões concedidas pelos usuários, o malware opera sem levantar suspeitas.
Essa prática explica por que dispositivos com segurança avançada e políticas restritivas bloqueiam a instalação de extensões. Em ambientes corporativos sensíveis, a capacidade de executar código de terceiros representa um vetor de ataque considerado inaceitável.
O impacto para o ecossistema brasileiro
Para desenvolvedores e builders no Brasil, o problema tem dimensões específicas. O mercado brasileiro de extensions para Chrome é composto principalmente por ferramentas de produtividade, utilitários e soluções de desenvolvimento criadas por autores independentes. A confiança depositada nessas ferramentas se baseia na premissa de que desenvolvedores individuais têm incentivos para manter a integridade de seus produtos.
Quando um criminoso compra uma extensão estabelecida, essa confiança é rompida sem que a maioria dos usuários perceba. A atualização pode acontecer de forma gradual, com código malicioso sendo introduzido lentamente para evitar detecção imediata. Para times de desenvolvimento que utilizam extensões em seus fluxos de trabalho, o risco inclui acesso a credenciais de APIs, tokens de autenticação e dados de projetos.
Uma alternativa prática
Levels sugere que desenvolvedores criem suas próprias extensões minimalistas em vez de depender de soluções de terceiros. A recomendação inclui manter apenas o essencial instalado, como bloqueadores de anúncios que também funcionam como camadas de proteção contra scripts maliciosos.
Com ferramentas de IA generativa disponíveis hoje, o processo de desenvolver uma extensão personalizada se tornou significativamente mais acessível. Um desenvolvedor consegue, em poucas horas, criar uma ferramenta que faz exatamente o que precisa sem os riscos de código de terceiros.
A abordagem reduz a superfície de ataque e elimina a dependência de vendedores desconhecidos. Para quem trabalha com dados sensíveis ou gerencia projetos de clientes, essa estratégia representa uma camada adicional de segurança com custo de implementação baixo.