Como extensões de navegador são usadas como botnets
Quando extensões de navegador se tornam agentes involuntários de uma rede global de scraping e coleta de dados.
Por que isso é importante
Extensões de navegador estão sendo usadas como canais secretos de web scraping em larga escala. Isso ameaça a privacidade de usuários, viola diretrizes de uso de grandes plataformas e escancara novas vulnerabilidades de cibersegurança.
Do utilitário à ameaça oculta
Muitos desenvolvedores iniciam extensões com boas intenções: aumentar produtividade ou resolver problemas reais. Entretanto, à medida que a base de usuários cresce, a pressão por manutenção aumenta — e a tentação de monetizar também.
O mercado silencioso de dados
Com o aumento da demanda por dados para treinar modelos de IA, surgem bibliotecas suspeitas prometendo renda passiva para devs. Uma dessas é a Mellowtel.js, que transforma cada usuário de uma extensão em parte de uma rede de coleta distribuída.
O que realmente acontece ao instalar a biblioteca
Quando Mellowtel.js é integrado, ela injeta scripts em todas as páginas acessadas pelo usuário. Esses scripts coletam cliques, navegação e dados estruturais para alimentar mecanismos de rastreamento em tempo real — tudo com aparência legítima.
⚠️Atenção
Algumas permissões como "access to all URLs" possibilitam que uma extensão tenha visibilidade total sobre qualquer conteúdo carregado pelo navegador. Isso inclui senhas, informações bancárias ou conversas privadas.
Por que bloquear APIs tornou isso mais grave
Com o Twitter e Reddit limitando acesso via APIs, adquirir dados públicos diretamente das páginas virou uma forma mais barata — porém arriscada — de manter serviços e IA funcionando. Extensões se tornaram um dos vetores mais usados nesse cenário.
A falsa promessa de "open-source transparente"
Muitas dessas bibliotecas usam licenças abertas como isca. O problema não está só no código em si, mas em como ele pode ser implementado de forma opaca pelo desenvolvedor, sem qualquer consentimento real do usuário.
❌Atenção
Em muitos casos, o usuário nunca é questionado sobre o envio dos seus dados. O dev decide sozinho se ativa o módulo de rastreamento, e ele começa a rodar silenciosamente — sem atualizações visíveis ou prompts.
Como extensões viram botnets
Transformar 1 milhão de navegadores em uma rede descentralizada de scraping é simples quando esses dispositivos já rodam scripts que visitam, leem e interagem com páginas sem o menor controle. Isso configura uma botnet feita de... navegadores comuns.
Qual o interesse por trás disso tudo?
Companhias que lucram com clickstream, dados SKU de produtos ou pesquisas de mercado são algumas das maiores pagadoras por bibliotecas como essas. Elas compram relatórios de comportamento de navegação quase em tempo real.
ℹ️Atenção
Instalar uma extensão desconhecida "só para adblock" pode estar expondo toda sua navegação. A maioria das extensões gratuitas gera receita vendendo sua atividade para serviços de análise comportamental.
Quando uma extensão se atualiza silenciosamente
Extensões com permissões amplas podem incorporar bibliotecas maliciosas em atualizações automáticas, sem mostrar alertas para o usuário. Basta que as novas features usem as mesmas permissões listadas no manifesto original.
Mas não é tudo open source?
Open source infelizmente não garante boas práticas. Se o dev decidir não criar uma interface de opt-in clara, Mellowtel ainda assim rodará. A transparência está lá para quem vê — mas ninguém vê.
Como o script se comporta no navegador
O bundle de JavaScript injetado interage com as páginas da web como se fosse um usuário avançado fazendo scraping. Em muitos casos, ele emula cliques, extrai XPath ou simula comportamento humano para escapar de bloqueios anti-bot.
O que desenvolvedores precisam entender
Usar esse tipo de biblioteca pode banir suas extensões da Chrome Store e até causar banimento da conta Google. Além disso, você pode ser responsabilizado legalmente pela coleta de dados sensíveis sem consentimento.
O que empresas devem inspecionar
Se sua empresa usa extensões de browser internas ou permite que colaboradores instalem apps externos, revise permissões como acesso a "todas as URLs" ou requests de rede declarativa. Isso pode ser porta de entrada para ameaças corporativas.
⚠️Atenção
Organizações devem ter políticas rígidas de uso de extensões e ferramentas de monitoramento HTTP em endpoints para detectar atividades suspeitas vindas de extensões injetadas.