Especialistas em cibersegurança identificaram um algoritmo dissimulado em uma extensão popular do Google Chrome, o Adblock for YouTube, que possui a capacidade de executar código remotamente. A extensão, que conta com mais de 10 milhões de instalações e ostenta a marca 'Featured' na Chrome Web Store, é capaz de bloquear anúncios no YouTube e em sites com vídeos incorporados. No entanto, além de sua funcionalidade principal, ela contém um mecanismo que permite a execução de código JavaScript arbitrário. De acordo com a análise da empresa Island, este script poderia ser ativado por meio de uma simples configuração no servidor, sem a necessidade de atualizar a extensão, passar por nova verificação da loja ou gerar alertas visíveis para o usuário.
Embora não haja confirmação de que os desenvolvedores já tenham distribuído cargas maliciosas (payloads) por meio deste mecanismo, o risco reside na própria arquitetura da extensão. Ela possui acesso a todos os sites, capacidade de modificar páginas e recebe comandos de forma remota. Em um cenário de ataque, isso poderia permitir a leitura do conteúdo de páginas, o roubo de dados confidenciais e a execução de ações em nome do usuário em contas pessoais, serviços corporativos ou painéis administrativos. A situação é agravada pelo histórico da extensão, que foi lançada em 2014, mudou de proprietário e, em versões anteriores, incluía um SDK para injeção de anúncios. Embora esse componente tenha sido removido em junho de 2024, vestígios de caminhos para injeção remota de scripts permaneceram no código até fevereiro de 2025. Extensões relacionadas, como Adblock for Chrome, Adblock for You e AdBlock Suite, já haviam sido removidas da loja anteriormente devido a atividades maliciosas.
Um problema adicional reside na forma como a extensão verifica o endereço da página. Apesar de estar associada ao YouTube, ela é executada em todos os sites visitados, buscando apenas a string 'youtube.com' na URL. Essa verificação superficial não confere o domínio real e pode levar à ativação da funcionalidade em páginas bancárias, corporativas ou qualquer outra, caso a string desejada apareça em parâmetros do endereço. O desenvolvedor da extensão foi contatado para comentários, mas não houve resposta. No momento da análise, a capacidade de execução remota era considerada uma ameaça latente, e não um ataque confirmado. Contudo, a combinação de uma vasta base de usuários, permissões amplas e controle remoto torna extensões como essa uma fonte significativa de risco para a segurança dos usuários.
