CEVIU Logo
Voltar
Google e Microsoft removem extensão ModHeader após descoberta de coletor de dados

Google e Microsoft Removem Extensão Maliciosa ModHeader com 1,6 Milhão de Usuários

Aprofundamento CEVIU

Aprofundamento

A remoção da extensão ModHeader por Google e Microsoft escancara a sofisticação crescente de ataques na cadeia de suprimentos de software. O código malicioso, embora inativo, já estava presente na versão distribuída para 1,6 milhão de usuários. Ele incluía funcionalidades para coletar impressões digitais de dispositivos e criptografar o histórico de navegação de até mil domínios, enviando-os para a infraestrutura em api.stanfordstudies[.]com. A presença de um mecanismo dormente, ativado por uma 'allow-list' vazia, mostra que os invasores planejaram uma ativação remota sem a necessidade de novas permissões.

O modus operandi revela como o comprometimento de ferramentas populares se tornou um vetor poderoso. A ModHeader, que já foi alvo de queixas por injeção de anúncios em 2023, teve seu código malicioso minificado em uma base legítima. Scanners automatizados falharam, pois a coleta era cifrada, e a exfiltração estava 'gated off', impedindo que sandboxes detectassem a comunicação com o servidor de comando e controle em api.stanfordstudies[.]com. Isso ressalta a falha na detecção de caminhos de código inativos, mas prontos para serem acionados, em extensões de navegadores.

O que mudou

Este incidente com a ModHeader representa uma evolução preocupante nos ataques via extensão de navegador, comparado a casos anteriores. Em 11 de março de 2026, noticiamos sobre a extensão ShotBird, que foi comprometida após uma transferência de propriedade, tornando-se um vetor de malware. Agora, com a ModHeader, vemos o mesmo padrão de aquisição seguido por comprometimento, mas com táticas de evasão muito mais avançadas.

A principal mudança é a introdução de código dormente, criptografia de dados e um mecanismo de ativação remota que burla as ferramentas de segurança. Enquanto a ShotBird se tornou um canal de malware mais direto, a ModHeader preparou uma infraestrutura de exfiltração completa que permaneceu indetectável pelas análises tradicionais. Essa capacidade de 'dormir' e ativar posteriormente, sem exigir novas permissões, eleva o nível da ameaça e a dificuldade de detecção para defensores.

Por que isso importa

A remoção do ModHeader é um alerta crítico para a segurança digital. Com 1,6 milhão de usuários afetados, a escala da ameaça é imensa, erodindo a confiança em ferramentas aparentemente inofensivas. Para empresas, a presença de uma extensão comprometida pode significar roubo de dados sensíveis, credenciais e até o acesso inicial a redes corporativas se a ferramenta for usada em ambientes de trabalho.

O caso reforça a necessidade de políticas de segurança mais rigorosas para uso de extensões, além de um escrutínio contínuo na cadeia de suprimentos de software. A falha de scanners automatizados em identificar o código malicioso dormente destaca uma lacuna na detecção de ameaças sofisticadas, exigindo que as organizações aprimorem suas estratégias de monitoramento e resposta a incidentes, bloqueando proativamente domínios suspeitos e revisando logs de tráfego.

Linha do tempo

  1. Extensão ShotBird comprometida após transferência de propriedade, tornando-se um vetor de malware.

  2. Botnet Glassworm desativada, que utilizava extensões maliciosas de OpenVSX e VS Code.

  3. Google e Microsoft removem extensão ModHeader com 1,6 milhão de usuários devido a código malicioso dormente.

Perguntas frequentes

O que é a extensão ModHeader e qual o risco que ela apresentava?

ModHeader era uma extensão popular para Chrome e Edge, usada para editar cabeçalhos HTTP, com cerca de 1,6 milhão de instalações. O risco estava em um código malicioso oculto, capaz de coletar impressões digitais de dispositivos e criptografar o histórico de navegação, enviando-o para servidores controlados pelos atacantes, mesmo que a função de coleta estivesse inativa.

Como o código malicioso da ModHeader conseguiu passar pelas revisões de segurança?

O código malicioso era minificado em uma base de código legítima e projetado para evadir detecção. A coleta de dados era criptografada, tornando-a ilegível para scanners, e a exfiltração estava dormente, ativada por uma 'allow-list' que inicialmente estava vazia. Isso impedia que sandboxes detectassem a comunicação com servidores externos, fazendo com que as ferramentas automatizadas avaliassem a extensão como de baixo risco.

O que os usuários devem fazer se tiverem a extensão ModHeader instalada?

Recomenda-se a desinstalação imediata do ModHeader de todos os navegadores. É crucial alterar todas as credenciais sensíveis (senhas, chaves de API, tokens) que possam ter sido expostas e revisar os logs de tráfego em busca de atividades suspeitas. Além disso, blocos nos domínios associados (api.stanfordstudies[.]com e extensions-hub[.]com) são aconselháveis para prevenir futuras comunicações.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
14 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser