Introdução
Pesquisadores identificaram cinco extensões maliciosas para Chrome que atuam de forma coordenada para roubo de tokens de autenticação, injeção de cookies e bloqueio de páginas administrativas em plataformas de RH e ERP. As operações afetam ferramentas como Workday, NetSuite e SuccessFactors.
Descoberta e alcance
Relatada pelo Cyber Security News a partir da análise do grupo Socket.dev, a campanha opera com quatro extensões publicadas sob a marca databycloud1104 e uma quinta com marca diferente chamada softwareaccess, mas que compartilha infraestrutura e técnicas. Juntas, as extensões alcançaram mais de 2.300 usuários, segundo a matéria.
Técnicas e capacidades maliciosas
As extensões funcionam em conjunto para extrair tokens de sessão e cookies de autenticação continuamente (a cada 60 segundos, conforme o relatório), permitindo que invasores mantenham credenciais atuais mesmo após logouts e logins rotineiros. O caso mais crítico envolve a extensão Software Access, que implementa injeção bidirecional de cookies: cookies roubados podem ser inseridos no navegador do atacante, permitindo acesso imediato às contas das vítimas sem uso de senhas e com potencial de contornar proteções de MFA dependentes de sessão.
Persistência e evasão de resposta
Além do roubo de credenciais, as extensões empregam manipulação do DOM para prevenir respostas administrativas: por meio de MutationObserver que checam a página a cada 50 milissegundos, as extensões detectam quando administradores tentam acessar painéis de segurança e imediatamente apagam o conteúdo da página ou redirecionam para URLs malformados. Em números citados, uma das variantes bloqueia 44 páginas administrativas no Workday e outra chega a 56, atingindo funções como alteração de senha, desativação de contas, gestão de dispositivos MFA e logs de auditoria.
Impacto operacional
Esse conjunto de capacidades cria um cenário de falha de contenção: equipes de segurança podem detectar acessos não autorizados, mas ficam impedidas de executar remediações padrão diretamente via interface administrativa — forçando medidas drásticas como migração de contas afetadas ou reset de larga escala. O relatório alerta para o potencial de takeover completo de contas críticas de RH e finanças, com risco de fraude, roubo de dados e interrupção de processos internos.
Mitigações e recomendações
- Revogar sessões ativas e tokens afetados ao identificar extensão maliciosa em ambiente gerenciado.
- Monitorar e bloquear extensões não aprovadas via políticas de navegador corporativo (GPO/MDM).
- Reforçar detecção de anomalias de sessão e alertas sobre injeção de cookies e hijacking.
- Considerar políticas de hardening para painéis administrativos (VPNs, listas de IPs, restrições RBAC e autenticação baseada em dispositivo).
O que ainda falta
A matéria original não traz uma lista pública completa das extensões no Chrome Web Store nem se houve remoção automática pelas plataformas. Também não há indicadores de comprometimento (IoCs) completos no texto para uso direto em ferramentas de detecção; por isso é importante acompanhar a divulgação dos responsáveis pela pesquisa (Socket.dev) e aplicar regras de bloqueio proativas nos ambientes corporativos.
Fonte: Cyber Security News (reportagem baseada em análise do Socket.dev, publicada em 19/01/2026)