De um Compromisso Sofisticado na Cadeia de Suprimentos de Extensões de Navegador a um VibeCoded Twist: Extensão do Chrome como Vetor de Acesso Inicial para Cadeia de Malware Ampla

A extensão de Chrome em destaque ShotBird (ID: gengfhhkjekmlejbhmmopegofnoifnjp) foi comprometida após uma transferência de propriedade entre dezembro de 2025 e março de 2026, transformando-se em um canal de malware controlado remotamente. Esta extensão enviava dados para api.getextensionanalytics.top, removia os cabeçalhos CSP/X-Frame-Options via rules.json declarativas, injetava iscas de atualização falsas do Chrome e exfiltrava dados de formulário, incluindo senhas, dados de cartão/CVV, IBAN e campos de SSN.

O caminho de entrega do arquivo instalou googleupdate.exe (SHA256: E8D2ED43...), um bootstrapper WiX Burn que empacotava um ChromeSetup.exe legítimo assinado pelo Google, juntamente com um stager psfx.msi que decodificava para irm orangewater00.com|iex. O PowerShell Script Block Logging (Event ID 4104) reconstruiu uma segunda etapa a partir de 115 fragmentos, revelando a supressão de ETW via PSEtwLogProvider, enumeração do Windows Credential Manager, direcionamento de dados de Login e Web Data do Chromium, e rotinas de exfiltração. Padrões de infraestrutura e endpoints se sobrepõem a uma campanha paralela envolvendo a extensão QuickLens, documentada pela Annex Security.