Pesquisadores em cibersegurança identificaram extensões maliciosas para o Google Chrome que sequestram links afiliados, roubam dados e coletam tokens de autenticação do OpenAI ChatGPT.
Um dos casos mais emblemáticos é a extensão Amazon Ads Blocker (ID: pnpchphmplpdimbllknjoiopmfphellj), que promete bloquear anúncios na Amazon para uma navegação mais limpa.
Publicada na Chrome Web Store em 19 de janeiro de 2026 pelo desenvolvedor "10Xprofit", a extensão esconde uma funcionalidade preocupante.
Segundo Kush Pandya, pesquisador da Socket Security, “a extensão bloqueia anúncios como anunciado, mas sua função principal é oculta: ela injeta automaticamente a tag de afiliado do desenvolvedor (10xprofit-20) em todos os links de produtos da Amazon, substituindo as tags legítimas de outros criadores de conteúdo”.
As análises indicam que essa extensão faz parte de um grupo maior, composto por 29 add-ons que atuam em plataformas de comércio eletrônico como AliExpress, Amazon, Best Buy, Shein, Shopify e Walmart.
Entre eles, há ferramentas que geram notas fiscais falsas, rastreiam preços, convertem moedas e até exibem contadores falsos de promoções, sempre inserindo tags de afiliados próprias para obter comissões indevidas.
A Amazon Ads Blocker, por exemplo, insere automaticamente a tag "10xprofit-20" em links da Amazon e "_c3pFXV63" em links do AliExpress, substituindo qualquer código de afiliado existente, sem que o usuário precise interagir.
Quando não há nenhuma tag, o código do atacante é adicionado ao link.
Na página da extensão na Chrome Web Store, há uma divulgação enganosa afirmando que os desenvolvedores ganham apenas uma “pequena comissão” ao usar cupons, o que oculta o real propósito da ferramenta.
Links afiliados são amplamente usados em redes sociais e sites para monitorar vendas e tráfego, remunerando criadores de conteúdo por indicações.
Ao substituir as tags legítimas, essas extensões roubam comissões desses produtores, o que configura violação das políticas da Chrome Web Store, que exigem transparência no uso de afiliados e consentimento do usuário antes de quaisquer modificações.
Além disso, essas extensões violam a política de Single Purpose, pois combinam funções distintas — como bloqueio de anúncios e injeção automática de links afiliados — que deveriam ser serviços separados.
O estudo também revelou que todas as extensões do grupo coletam dados de produtos e os enviam para a URL “app.10xprofit[.]io”, enquanto algumas exibem contadores falsos de promoções para criar senso de urgência e acelerar as compras.
Além desse cluster, outra pesquisa da Broadcom Symantec relatou quatro extensões com mais de 100 mil usuários que apresentam funcionalidades maliciosas, como acesso completo à área de transferência, coleta de cookies, redirecionamento para sites perigosos e exploração de vulnerabilidades conhecidas para execução remota de código.
No campo das extensões relacionadas à inteligência artificial, 16 add-ons detectados (15 na Chrome Web Store e um na Microsoft Edge Add-ons) foram projetados para capturar tokens de autenticação do ChatGPT, injetando scripts no site chatgpt[.]com.
Baixadas cerca de 900 vezes, essas ferramentas permitem que criminosos acessem a conta dos usuários, incluindo histórico e dados das conversas, simulando suas identidades.
Especialistas alertam que, com a popularização das extensões de IA em ambientes corporativos, cresce a superfície de ataque, já que essas ferramentas exigem permissões elevadas e podem capturar informações sensíveis sem serem percebidas.
Outro ponto preocupante é o surgimento do kit de malware-as-a-service chamado Stanley, vendido em fóruns russos de cibercrime por valores entre US$ 2.000 e US$ 6.000.
Ele permite criar extensões maliciosas para Chrome que exibem páginas de phishing em iframes, mantendo a URL legítima visível no navegador.
Assim, mesmo usuários atentos podem ser enganados e ter suas credenciais roubadas.
Segundo Daniel Kelley, pesquisador da Varonis, “políticas de BYOD, ambientes SaaS-first e o aumento do trabalho remoto tornaram o navegador o principal ponto de ataque.
Extensões maliciosas tornaram-se vetor prioritário para invasores”.
Embora o serviço Stanley tenha desaparecido do mercado em janeiro de 2025, provavelmente em consequência dessa divulgação, seu retorno sob outro nome não está descartado.
Em resumo, é fundamental que os usuários redobrem a atenção ao instalar extensões, mesmo em fontes confiáveis, e que desenvolvedores e plataformas aprimorem os processos de análise para evitar a propagação dessas ameaças.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...