CibersegurançaNotícias

ShadyPanda: como extensões maliciosas roubaram dados de 4,3 milhões

O perigo das extensões espiãs.

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem com a logomarca do Google Chrome em destaque

As extensões maliciosas estão se tornando uma das maiores portas de entrada para golpes digitais e espionagem no navegador, e a campanha ShadyPanda é hoje um dos exemplos mais perigosos desse fenômeno. Com mais de 4,3 milhões de instalações em navegadores como Chrome e Edge, esta operação silenciosa transformou complementos aparentemente inofensivos em ferramentas de fraude e coleta massiva de dados.

Nesta investigação, você entenderá como a ameaça evoluiu, o que ela faz dentro do navegador e quais medidas urgentes deve tomar para se proteger. O navegador é hoje o principal ponto de entrada e saída de informações pessoais, portanto compreender esse tipo de risco é essencial para qualquer usuário da internet.

A ascensão do ShadyPanda: de fraude a malware

A operação ShadyPanda não surgiu de uma vez só, ela evoluiu em fases sucessivas, cada uma mais agressiva que a anterior.
A primeira fase começou em 2018, quando extensões aparentemente úteis passaram a operar de forma oculta para fins de monetização ilegal. Na época, o foco era manipular tráfego e inflar métricas de publicidade, ainda sem funcionalidades diretamente maliciosas.

A segunda fase ganhou força por volta de 2023, quando os operadores da campanha passaram a usar extensões para cometer fraude de afiliados. Usuários que navegaram por sites populares como eBay, Amazon e Booking.com tinham seus cliques redirecionados sem consentimento. A ação parecia discreta, mas gerava lucro ilícito e afetava tanto consumidores quanto plataformas.

Extensões maliciosas
Imagem: Reprodução: Bleeping Computer

No início de 2024, o ShadyPanda atingiu um novo patamar de periculosidade. As extensões começaram a sequestrar pesquisas do navegador, alterando resultados e empurrando anúncios fraudulentos. Essa manipulação direta da navegação marcou a transição para uma campanha mais agressiva e coordenada, abrindo caminho para os ataques mais graves que viriam em seguida.

O golpe mais perigoso: backdoor e execução remota de código (RCE)

A fase mais crítica da campanha ShadyPanda começou quando extensões de boa reputação — como a popular Clean Master — receberam atualizações que introduziram um backdoor oculto. Esse backdoor permitia que os operadores da campanha assumissem o controle remoto do navegador das vítimas.

Um backdoor é, essencialmente, uma porta escondida dentro de um software que permite que terceiros executem comandos sem permissão do usuário. No caso do ShadyPanda, esse recurso era ainda mais grave porque estava acoplado a uma função de execução remota de código (RCE).

A cada hora, as extensões comprometidas se conectavam ao domínio api.extensionplay[.]com, baixando novos comandos e executando código arbitrário dentro do navegador. Isso significa que qualquer vítima podia ter o Chrome ou Edge transformado em uma plataforma totalmente controlada pelos invasores, sem qualquer aviso visível. Era a porta perfeita para golpes, espionagem e manipulação contínua da experiência de navegação.

Spyware em ação: a coleta massiva de dados do usuário

A fase mais recente da campanha trouxe uma mudança agressiva na estratégia: o foco completo na espionagem digital.
A operação passou a publicar extensões diretamente na loja do Microsoft Edge, sob o nome da suposta empresa Starlab Technology. Uma das mais baixadas foi a extensão WeTab, uma ferramenta aparentemente inocente que, na verdade, funcionava como um poderoso spyware. As extensões dessa fase coletavam:

  • Histórico de navegação
  • Cookies e sessões de login
  • Consultas de pesquisa
  • Clques do mouse
  • Dados de impressão digital do navegador (fingerprinting)

Essas informações permitiam que os operadores rastreassem hábitos, identificassem contas online, espionassem atividades pessoais e até sequestrassem sessões de login usando cookies capturados.

Para completar o cenário, esses dados eram enviados para 17 domínios hospedados na China, ampliando as preocupações sobre privacidade e riscos geopolíticos. Com isso, o ShadyPanda consolidou sua posição como uma das campanhas mais invasivas já vistas em lojas oficiais de extensões.

Como se proteger: passos urgentes para usuários de Chrome e Edge

Verifique e remova imediatamente

O primeiro passo é revisar todas as suas extensões instaladas. A ameaça mostrou que até complementos bem avaliados podem virar extensões perigosas após uma atualização maliciosa. Remova qualquer extensão que:

  • Não seja essencial
  • Tenha sido instalada antes de 2024 sem uso atual
  • Faça parte das famílias associadas ao malware ShadyPanda
  • Apresente comportamento estranho, como redirecionamentos ou anúncios inesperados
  • Se não tiver certeza da procedência, é mais seguro desinstalar.

Redefina suas senhas

Como cookies e sessões foram alvo de roubo, é fundamental redefinir imediatamente as senhas de serviços sensíveis, como:

  • E-mail
  • Bancos
  • Redes sociais
  • Serviços de assinatura
  • Ambientes profissionais

Sempre que possível, habilite autenticação em duas etapas (2FA). Se uma sessão foi sequestrada, o 2FA pode impedir que a conta continue exposta.

Lições de segurança para o futuro

Golpes como o ShadyPanda deixam lições importantes para evitar novas vítimas. Antes de instalar uma extensão:

  • Verifique quem é o desenvolvedor
  • Chegue as permissões solicitadas
  • Desconfie de extensões “mágicas” que prometem funções exageradas
  • Prefira soluções recomendadas por comunidades confiáveis
  • Atualize o navegador continuamente
  • Revise sua lista de extensões mensalmente

Extensões são poderosas, e é exatamente isso que as torna alvos perfeitos para abusos. Avaliar com cuidado é parte essencial da segurança digital.

Conclusão/Impacto

A campanha ShadyPanda representa uma quebra significativa de confiança nas lojas oficiais do Chrome e Edge. Ela mostra como extensões maliciosas podem evoluir silenciosamente, passando de fraudes simples para espionagem avançada com controle remoto do navegador.

O impacto dessa descoberta deve servir como alerta imediato: seu navegador é um dos ativos mais sensíveis da sua vida digital. Proteger suas extensões é proteger suas senhas, seus hábitos e sua privacidade.
Se este conteúdo ajudou você a entender melhor a ameaça, compartilhe com amigos e familiares para que também possam verificar suas extensões agora mesmo e evitar cair nos golpes que afetaram milhões de usuários em todo o mundo.

TAGS:
Compartilhe este artigo
Kernel LinuxCódigo AbertoLinux

Vai instalar o Linux 6.18 manualmente? Este guia evita tela preta, DKMS quebrado e boot falhando

dywtmSxi como instalar kernel linux 6 18

Passo a passo completo para instalar o Linux 6.18 do código-fonte, sem perder o kernel antigo, com foco em NVIDIA, DKMS e recuperação.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto