Campanha começou em 2018, cresceu com atualizações maliciosas, e em 2025 deixou extensões com milhões de instalações capazes de ler cookies, redirecionar buscas e executar código remoto
Uma campanha de spyware que durou anos comprometeu extensões aparentemente legítimas do Chrome e do Edge, e só agora foi relatada por pesquisadores externos.
As extensões foram publicadas com funcionalidades úteis, ganharam confiança dos usuários e, depois de atualizações, passaram a coletar dados e executar comandos remotos.
Os detalhes da investigação mostram que a ameaça atingiu milhões de pessoas antes de ser descoberta, conforme relatório da Koi Security e reportagem de Adriano Camacho, TecMundo.
Como a campanha ShadyPanda se instalou e passou despercebida
Os operadores publicaram extensões de produtividade e papeis de parede desde 2018 para construir reputação e instalações, então usaram atualizações para injetar funcionalidades maliciosas. A verificação inicial pelo repositório do Chrome, que analisa o código no momento da submissão, ajudou a manter o truque sem levantar suspeitas.
Em fases iniciais, a monetização era discreta, com inserção de links afiliados e coleta de navegação por ferramentas analíticas. Em 2023, Em 2023, cerca de 145 extensões foram utilizadas para aplicar pequenas fraudes, sendo 125 para o Edge e 20 para o Chrome, todas disfarçadas na temática de provedoras de papel de parede.
Escala do ataque, extensões afetadas e dados exatos
Segundo o relatório, as extensões maliciosas somam mais de 4,4 milhões de downloads, e em 2025 cinco novos add-ons ainda estavam ativos na loja do Edge, com destaque para a WeTab New Tab Page, que possuía três milhões de downloads.
Algumas extensões, como a chamada “Infinity V+”, redirecionavam buscas pelo domínio trovi.com, manipulavam resultados e capturavam termos de pesquisa antes mesmo do usuário confirmar a busca, permitindo venda em tempo real dos dados coletados.
Técnicas usadas, backdoors e servidores de coleta
Os malwares implantaram um framework que consultava um servidor de comando a cada hora e executava instruções com acesso às APIs do navegador. Esse conjunto, descrito como backdoor, permitia executar código remoto, coletar cookies e persistir no sistema enquanto ofuscava o próprio código.
No caso da WeTab, seu código envia os pacotes extraídos para 17 domínios: sendo oito servidores do Baidu, sete do próprio WebTab e dois do Google Analytics, o que ilustra a distribuição de dados para múltiplas infraestruturas, inclusive de terceiros que podem não ter relação direta com o autor do malware.
Como usuários e empresas devem se proteger
Trate toda extensão como software com alto nível de acesso aos seus dados. Verifique o desenvolvedor, leia avaliações recentes e evite complementos com histórico de mudanças de nome ou ausência de informações públicas.
Mantenha uma auditoria periódica das extensões instaladas, remova o que não usa, e fique atento a sinais como buscas redirecionadas, anúncio em excesso ou consumo de CPU anormal. Prefira instalar apenas pelas lojas oficiais do Chrome e Edge, mesmo sabendo que esses repositórios não são infalíveis.
Se notar comportamento suspeito, desative a extensão e limpe cookies e dados de navegação, e considere consultar um especialista em segurança ou sua equipe de TI para investigação mais profunda.
