Resumo do caso
Pesquisadores da Socket.dev identificaram duas variantes de extensões chamadas "Phantom Shuttle" publicadas na Chrome Web Store que ofertam funcionalidades de proxy/VPN, mas executam interceptação completa do tráfego HTTP e exfiltram credenciais para infraestrutura controlada pelos atacantes. As extensões estão ativas desde pelo menos 2017 e foram instaladas por mais de 2.180 usuários, de acordo com a matéria.
Como a fraude funciona
As extensões apresentam um produto comercial legítimo: realizam testes de latência e mostram status de conexão, além de aceitar pagamentos via Alipay e WeChat Pay. Em paralelo, o código JavaScript modificado — incluído em bibliotecas como jquery-1.12.2.min.js e scripts.js — contém uma rotina de interceptação.
- O mecanismo registra um listener em chrome.webRequest.onAuthRequired, interceptando desafios de autenticação antes que o usuário veja prompts.
- Quando acionado, o listener responde automaticamente com credenciais embutidas no código (username: topfany, password: 963852wei), em modo asyncBlocking, permitindo ao atacante forçar a autenticação sem interação do usuário.
- As extensões mantêm um heartbeat de 60 segundos com o servidor de comando e controle em phantomshuttle.space, enviando e recebendo dados, e transmitem emails e senhas em texto claro a cada cinco minutos para usuários ativos.
Evidências técnicas e evasão
Os pesquisadores observaram que as credenciais são ofuscadas por um esquema de encoding de índice de caracteres para dificultar a detecção manual. A combinação de funcionalidade aparente — proxy que funciona — com o canal clandestino de exfiltração cria falsa confiança nas vítimas e facilita a permanência das extensões na loja por anos.
Impacto e recomendações
Embora o número de instalações relatado (~2.180) não seja comparável a grandes campanhas massivas, o risco é alto: qualquer usuário que tenha instalado a extensão teve seu tráfego potencialmente redirecionado via proxies do atacante e credenciais capturadas em texto claro. Recomendamos:
- Remover imediatamente qualquer extensão suspeita chamada "Phantom Shuttle" ou qualquer extensão desconhecida que peça permissões amplas de rede.
- Alterar senhas armazenadas no navegador e revisar sessões ativas em serviços sensíveis (webmail, bancos, SSO corporativo).
- Habilitar políticas de gerenciamento de extensões em ambientes corporativos (whitelist/blacklist) e analisar telemetria de extensões instaladas.
- Submeter amostras ao fornecedor de browser e ao programa de segurança da loja; Socket.dev declarou ter enviado pedidos de takedown ao time de segurança do Chrome Web Store.
Limitações da investigação
O relatório indica a infraestrutura C2 e hardcoded credentials e relata exfiltração periódica, mas não detalha campanhas específicas de comprometimento de contas nem fornece uma lista pública completa de usuários afetados. Falta também declaração pública do Google sobre a remoção ou estatísticas adicionais sobre amplitude do impacto.
Observações finais
O caso reforça a necessidade de controles centrais sobre extensões em ambientes corporativos e de verificação contínua de componentes aparentemente benignos. A combinação de fachada comercial com funcionalidades reais torna esse tipo de ameaça especialmente perigoso para usuários que confiam apenas na presença de avaliações ou pagamentos legítimos.