108 Extensões do Chrome Vinculadas à Exfiltração de Dados e Roubo de Sessão via Infraestrutura C2 Compartilhada

A equipe de Pesquisa de Ameaças da Socket identificou 108 extensões maliciosas do Chrome, com aproximadamente 20 mil instalações, operando como uma campanha coordenada de MaaS (Malware-as-a-Service) sob uma infraestrutura C2 compartilhada em cloudapi[.]stream. Dessas, 54 extensões coletam identidades Google OAuth2 via chrome.identity.getAuthToken, uma exfiltra ativamente sessões do Telegram Web a cada 15 segundos, e 45 contêm um backdoor universal loadInfo() que abre URLs especificadas pelo operador a cada inicialização do navegador. Todas as cinco identidades de editor remontam a apenas dois números de projeto do Google Cloud, e o backend do C2 executa um CMS Strapi com um portal de pagamento, confirmando que as identidades são vendidas como um serviço. Defensores devem bloquear cloudapi[.]stream e top[.]rodeo no perímetro da rede, escanear os pacotes das extensões em busca do padrão user_info/infoURL/chrome.tabs.create e sinalizar qualquer extensão que combine a permissão de identidade com regras de declarativeNetRequest que removem os cabeçalhos CSP.