Uma extensão de bloqueio de anúncios do Chrome com mais de 10 milhões de instalações e selo “Featured” na Chrome Web Store possui capacidade latente de injetar JavaScript arbitrário em qualquer site que o usuário visitar — sem necessidade de atualização da extensão, sem revisão da loja e sem nenhum sinal visível. A descoberta foi feita pelos pesquisadores Oleg Zaytsev e Shachar Gritzman, da Island.
A extensão Adblock for YouTube
A extensão “Adblock for YouTube” carrega o identificador cmedhionkhpnakcndndgjdbohmhepckk na Chrome Web Store. Com mais de 10 milhões de downloads e o selo em destaque do Google, ela promete bloquear pré-rolls e anúncios dentro do YouTube — e cumpre essa função. O problema é que faz muito mais do que isso.
Segundo o relatório compartilhado com o The Hacker News, a extensão contém caminhos arquiteturais para execução remota de JavaScript em qualquer site. O mecanismo usa uma regra scriptlet chamada “trusted-create-element” que permite criar elementos <script> arbitrários, controlados por configuração no servidor. Ativar isso exige uma única alteração no servidor — sem atualização na extensão, sem passar pela revisão do Chrome Web Store.
A extensão existe desde 2014 e mudou de proprietário em 2018. Versões iniciais incluíam um SDK de injeção de anúncios chamado Unistream, que só foi removido em junho de 2024. A infraestrutura de injeção remota, por sua vez, está presente desde fevereiro de 2025. Esse histórico levanta bandeiras vermelhas sobre a intenção real do código.
Injeção de script em qualquer site
Embora o nome sugira funcionalidade restrita ao YouTube, a extensão roda em todos os sites que o usuário acessa. O código verifica se a string “youtube.com” aparece na URL para ativar o bloqueio de anúncios, mas essa verificação é falha: não valida o hostname nem a origem do frame. Qualquer URL que contenha a string “youtube.com” — mesmo como parâmetro — ativa a lógica da extensão.
Na prática, isso significa que a verificação pode ser burlada por padrões como:
facebook.com/page?ref=youtube.combanco.exemplo.com.br/search?q=youtube.comsistema.empresa.com/redirect?from=youtube.com
Como a extensão tem acesso total a todas as páginas, o mecanismo de injeção remota pode ler formulários, extrair cookies, capturar credenciais e agir como o usuário dentro de sessões bancárias, painéis admin e contas pessoais. Um atacante com controle do servidor poderia, em tese, ler o saldo bancário, copiar tokens de sessão de aplicações corporativas ou redirecionar transações financeiras — tudo sem que o usuário perceba qualquer alteração.
Ameaça adormecida, não ausente
Não há evidência de que payloads maliciosos foram distribuídos aos usuários até agora. O mecanismo está dormente, não eliminado. A capacidade existe desde fevereiro de 2025 e pode ser ativada remotamente a qualquer momento por uma simples mudança de configuração no servidor da extensão.
“Na prática, isso significa ler páginas, roubar dados e agir como o usuário dentro de contas pessoais, apps corporativos, painéis de administração e outras sessões sensíveis do navegador”, alertaram os pesquisadores da Island.
Quatro extensões relacionadas ao mesmo ecossistema já foram removidas da Chrome Web Store por conter malware. A tabela abaixo resume as extensões derrubadas:
| Extensão removida | ID Chrome | Motivo |
|---|---|---|
| Adblock for Chrome | onomjaelhagjjojbkcafidnepbfkpnee |
Malware detectado |
| Adblock for You | ogcaehilgakehloljjmajoempaflmdci |
Malware detectado |
| AdBlock Suite | gekoepiplklhniacchbbgbhilidiojmb |
Malware detectado |
| Adblock for YouTube | cmedhionkhpnakcndndgjdbohmhepckk |
Injeção de script latente (ainda ativa) |
Extensões como vetor de ataque
Este caso não é isolado. Na mesma semana, a Unit 42 (equipe de inteligência da Palo Alto Networks) identificou 18 extensões de navegador que se passavam por marcas conhecidas para monetizar via marketing de afiliados. Todas abriam domínios .shop em novas abas e tentavam instalar navegadores questionários nos computadores dos usuários.
Extensões de bloqueio de anúncios pedem permissões abrangentes por natureza — inspecionar requisições, alterar páginas, esconder elementos. Quando essas permissões estão sob controle de código proprietário com canais de comando remotos, o risco se multiplica. Um único parâmetro alterado no servidor transforma uma ferramenta útil em um spyware invisível.
O problema é estrutural: a Chrome Web Store aprovou a extensão com o selo “Featured” apesar de toda essa arquitetura de risco. O modelo de revisão do Google continua permitindo que extensões com alto volume de downloads acumulem capacidades perigosas ao longo do tempo sem auditorias periódicas. Para o usuário final, o selo “Featured” transmite uma confiança que não corresponde à realidade técnica do código.
O que fazer agora
Se você tem a extensão “Adblock for YouTube” instalada, remova imediatamente. Mesmo que nenhum ataque tenha sido confirmado, a arquitetura de risco é real e pode ser ativada a qualquer momento. As recomendações abaixo se aplicam a qualquer extensão de navegador:
- Revise todas as extensões instaladas no Chrome — remova as que não usa ou que não reconhece
- Verifique o histórico de atualizações e a data de criação antes de instalar qualquer extensão
- Substitua por open-source auditável como o uBlock Origin, que não depende de servidores remotos para executar lógica arbitrária
- Reduza permissões — se uma extensão pede acesso a “todos os sites”, questione o motivo
- Ative a navegação segura do Chrome e monitore acessos suspeitos a contas bancárias
Para saber mais sobre golpes que usam o navegador como vetor de ataque, leia sobre o falso alerta de copyright que rouba contas do Google Chrome. Se você acompanha o cenário de malware distribuído via infraestrutura comprometida, o caso do backdoor Mistic que alimenta ransomware mostra como a cadeia de entrega funciona na prática.
Referências
- The Hacker News — Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability
- Island — Enterprise Browser Security Research (Oleg Zaytsev, Shachar Gritzman)
- Palo Alto Networks Unit 42 — Browser Extensions Impersonating Consumer Brands
- Chrome Web Store — Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk)