Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de transferencia de propiedadofreciendo a los atacantes una forma de enviar malware a clientes posteriores, inyectar código arbitrario y recopilar datos confidenciales.
Las extensiones en cuestión, ambas originalmente asociadas con un desarrollador llamado «akshayanuonline@gmail.com» (BuildMelon), se enumeran a continuación:
- QuickLens – Pantalla de búsqueda con Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7000 usuarios
- ShotBird: desplazamiento de capturas de pantalla, imágenes de tweets y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 usuarios
Si bien QuickLens ya no está disponible para descargar desde Chrome Web Store, ShotBird permanece accesible al momento de escribir este artículo. ShotBird fue lanzado originalmente en noviembre de 2024, con su desarrollador, Akshay Anu S (@AkshayAnuOnline), reclamando en X que la extensión es adecuada para «crear imágenes profesionales tipo estudio» y que todo el procesamiento se realiza localmente.
De acuerdo a investigación Publicado por monxresearch-sec, el complemento del navegador recibió una marca de «Destacado» en enero de 2025, antes de pasarlo a un desarrollador diferente («loraprice198865@gmail.com») en algún momento del mes pasado.
De manera similar, QuickLens fue puesto a la venta en ExtensionHub el 11 de octubre de 2025 por «akshayanuonline@gmail.com» apenas dos días después de su publicación, John Tuckner de Anexo Security. dicho. El 1 de febrero de 2026, el propietario de la extensión cambió a «support@doodlebuggle.top» en la página de listado de Chrome Web Store.
La actualización maliciosa introducida a QuickLens el 17 de febrero de 2026 mantuvo la funcionalidad original pero introdujo capacidades para eliminar encabezados de seguridad (por ejemplo, X-Frame-Options) de cada respuesta HTTP, lo que permite que scripts maliciosos inyectados en una página web realicen solicitudes arbitrarias a otros dominios, omitiendo la Política de seguridad de contenido (CSP) protecciones.
Además, la extensión contenía código para tomar huellas digitales del país del usuario, detectar el navegador y el sistema operativo, y sondea un servidor externo cada cinco minutos para recibir JavaScript, que se almacena en el almacenamiento local del navegador y se ejecuta en cada carga de página agregando un GIF oculto de 1×1. elemento y estableciendo la cadena JavaScript como su atributo «onload». Esto, a su vez, hace que el código malicioso se ejecute una vez cargada la imagen.
«El código malicioso real nunca aparece en los archivos fuente de la extensión», explicó Tuckner. «El análisis estático muestra una función que crea elementos de imagen. Eso es todo. Las cargas útiles se entregan desde el C2 y se almacenan en el almacenamiento local; sólo existen en tiempo de ejecución».
Un análisis similar de la extensión ShotBird realizado por monxresearch-sec ha descubierto el uso de devoluciones de llamada directas para entregar código JavaScript en lugar de crear una imagen de 1×1 píxeles para activar la ejecución. El JavaScript está diseñado para mostrar un mensaje falso de actualización del navegador Google Chrome, haciendo clic en qué usuarios reciben una página estilo ClickFix para abrir el cuadro de diálogo Ejecutar de Windows, iniciar «cmd.exe» y pegar un comando de PowerShell, lo que resulta en la descarga de un ejecutable llamado «googleupdate.exe» en los hosts de Windows.
Luego, el malware procede a enlazar la entrada, el área de texto, seleccionar elementos HTML y capturar cualquier dato ingresado por la víctima. Esto podría incluir credenciales, PIN, detalles de tarjetas, tokens e identificadores gubernamentales. También está equipado para desviar datos almacenados en el navegador web Chrome, como contraseñas, historial de navegación e información relacionada con extensiones.
«Esta es una cadena de abuso de dos etapas: control remoto del navegador del lado de la extensión más pivote de ejecución a nivel de host a través de actualizaciones falsas», dijo el investigador. «El resultado es una exposición de datos de alto riesgo en el navegador y una ejecución confirmada de secuencias de comandos del lado del host en al menos un sistema afectado. En términos prácticos, esto eleva el impacto del abuso exclusivo del navegador a un posible robo de credenciales y un compromiso más amplio de los terminales».
Se evalúa que el mismo actor de amenazas está detrás del compromiso de las dos extensiones y está operando dichos complementos en paralelo, dado el uso de un patrón de arquitectura de comando y control (C2) idéntico, los señuelos ClickFix inyectados en el contexto de navegación y la transferencia de propiedad como vector de infección.
Curiosamente, el desarrollador de la extensión original ha publicado varios otro extensiones bajo su nombre en Chrome Web Store y todos ellos han recibido una insignia de Destacados. El desarrollador también tiene un cuenta en ExtensionHubaunque actualmente no hay extensiones a la venta. Es más, el individuo tiene atentado para vender dominios como «AIInfraStack[.]com» por $2500, indicando que el «dominio de palabras clave fuertes» es «relevante para [sic] Ecosistema de IA en rápido crecimiento».
«Este es, en pocas palabras, el problema de la extensión de la cadena de suministro», dijo Anexo Security. «Una extensión funcional 'destacada', revisada, cambia de manos y el nuevo propietario envía una actualización armada a cada usuario existente».
La divulgación se produce cuando Microsoft advirtió sobre las extensiones maliciosas del navegador basadas en Chromium que se hacen pasar por herramientas legítimas de asistencia de inteligencia artificial para recopilar historiales de chat de LLM y datos de navegación.
«A escala, esta actividad convierte una extensión de productividad aparentemente confiable en un mecanismo de recopilación de datos persistente integrado en el uso cotidiano del navegador empresarial, lo que destaca el creciente riesgo que representan las extensiones del navegador en entornos corporativos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.
En las últimas semanas, los cazadores de amenazas también han detectado una extensión maliciosa de Chrome llamada lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi) que se hace pasar por imToken mientras se anuncia como un visualizador de colores hexadecimales en Chrome Web Store para robar frases iniciales de criptomonedas mediante redirecciones de phishing.
«En lugar de proporcionar la herramienta inofensiva que promete, la extensión abre automáticamente un sitio de phishing controlado por un actor de amenazas tan pronto como se instala, y nuevamente cada vez que el usuario hace clic en él», dijo el investigador de Socket Kirill Boychenko. dicho.
«Durante la instalación, la extensión obtiene una URL de destino desde un punto final JSONKeeper codificado (jsonkeeper[.]com/b/KUWNE) y abre una pestaña que apunta a un dominio similar al estilo Chrome Web Store, chromewedbstorre-detail-extension[.]com. La página de inicio se hace pasar por imToken utilizando homoglifos de escritura mixta y canaliza a las víctimas hacia flujos de captura de credenciales que solicitan una frase inicial de 12 o 24 palabras o una clave privada».
Otras extensiones maliciosas marcado por Palo Alto Networks Se ha descubierto que la Unidad 42 de Networks participa en secuestro de afiliados y exfiltración de datos, uno de ellos: Chrome MCP Server – AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) – servicio como un troyano de acceso remoto completo mientras se hace pasar por una herramienta de automatización de inteligencia artificial que utiliza el protocolo de contexto modelo (MCP).
Los investigadores de Unit 42 también han revelado que tres extensiones populares de Chrome, a saber, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, que fueron identificadas por Koi como extractoras de conversaciones de IA de varios chatbots como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity, han regresado a Chrome Web Store.
«Tras la divulgación pública de la campaña el 15 de diciembre de 2025, el desarrollador actualizó las versiones benignas en enero de 2026, probablemente en respuesta al informe», afirman los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov. dicho.
Además, la empresa de ciberseguridad identificó una extensión denominada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), que cuenta con más de 100.000 usuarios y cuya versión anterior se comunicaba con conocidos indicadores de red asociados a una campaña denominada RedDirection para realizar secuestro de navegador.
Eso no es todo. Una nueva campaña que comprende Se ha descubierto que más de 30.000 dominios inician una cadena de redireccionamiento para dirigir el tráfico a una página de destino («algoritmo ansible[.]com») que se utiliza para distribuir una extensión de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).
La extensión utiliza la API chrome_settings_overrides para modificar la configuración de Chrome y configurar la página de inicio del navegador en omnibar.[.]ai, además de convertir el proveedor de búsqueda predeterminado en una URL personalizada: «go.omnibar[.]ai/?api=omni&sub1=omnibar.ai&q={searchTerms}» y realizar un seguimiento de las consultas a través de un parámetro API.
Se cree que el objetivo final es realizar un secuestro de navegador como parte de lo que parece ser un plan de marketing de afiliación a gran escala, dijo Unit 42, añadiendo que identificó otras dos extensiones que exhiben el mismo comportamiento de secuestro de navegador consistente con OmniBar a través de la anulación de la página de inicio y la interceptación de búsqueda.
- Herramienta de algoritmo de salida de IA (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)
- Extensión oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)
Una investigación más profunda de tres extensiones más publicadas por el mismo desarrollador («jon@status77.com» y Status 77) ha descubierto que dos de ellas rastrean la actividad de navegación del usuario para inyectar marcadores de afiliados, mientras que una tercera extrae y transmite hilos de comentarios de Reddit del usuario a un punto final API controlado por el desarrollador.
- Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)
- Extensión oficial de cupones gigantes (ID: akdajpomgjgldidenledjjiemgkjcchc)
- Consenso: resumen de comentarios de Reddit (ID: mkkfklcadlnkhgapjeejemflhamcdjld)
Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen de sus navegadores con efecto inmediato, eviten la carga lateral o la instalación de extensiones de productividad no verificadas y auditen los navegadores en busca de extensiones desconocidas y las desinstalen.
