Milhares de utilizadores afetados por extensões falsas de IA no Google Chrome

Duas extensões maliciosas para o navegador Google Chrome, descarregadas por mais de 900 mil utilizadores, foram identificadas a roubar dados de navegação e conversas mantidas com ferramentas de Inteligência Artificial (IA) como o ChatGPT e o DeepSeek, segundo um alerta da empresa de cibersegurança OX Security.

As extensões, intituladas “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” e “AI Sidebar with Deepseek, ChatGPT, Claude and more”, faziam-se passar por uma extensão legítima da AITOPIA, oferecendo funcionalidades semelhantes através de uma barra lateral para interação com modelos de linguagem em páginas web. Ambas já foram removidas da Chrome Web Store.

De acordo com a OX Security, as aplicações copiavam a extensão legítima da AITOPIA e adicionavam código malicioso. Embora solicitassem autorização para recolher apenas “dados analíticos anónimos e não identificáveis”, na prática exfiltravam a totalidade das conversas dos utilizadores com o ChatGPT e o DeepSeek.

Para além das conversas com modelos de IA, as extensões recolhiam todos os URL abertos nos separadores do Chrome, pesquisas efetuadas, parâmetros de URL que podiam conter tokens de sessão, identificadores de utilizador e outros dados de autenticação. Ao capturarem os URL de todos os separadores, os atacantes poderão também ter tido acesso a domínios internos de empresas, expondo potencialmente infraestruturas e ferramentas corporativas.

A investigação revela ainda que a infraestrutura usada no ataque recorria à plataforma de desenvolvimento web baseada em IA Lovable, permitindo alojar componentes maliciosos e ocultar a atividade dos atacantes.

Dependendo da forma como os utilizadores usaram as extensões, os dados exfiltrados podem incluir código-fonte, pedidos de desenvolvimento, informações pessoais identificáveis, dados confidenciais, assuntos legais e estratégias de negócio. Segundo a OX Security, esta informação pode ser explorada para espionagem corporativa, roubo de identidade, campanhas de phishing direcionadas ou vendida em fóruns clandestinos.

“Organizações cujos colaboradores instalaram estas extensões podem ter exposto inadvertidamente propriedade intelectual, dados de clientes e informação empresarial confidencial”, alerta a OX Security, sublinhando o risco acrescido associado à utilização de extensões de navegador não verificadas.

Os especialistas recomendam que os utilizadores removam imediatamente estas extensões dos seus navegadores e que as organizações reforcem as políticas de controlo e auditoria de extensões, sobretudo em ambientes empresariais onde são usadas ferramentas de IA no dia a dia.