Diez extensiones de Chrome y Edge que han sido seguras durante años, infectan con malware a 4 millones de usuarios
Que una extensión de Chrome esté libre de virus, no garantiza que sea siempre así. ¿Qué pasa si la hackean?
ShadyPanda ataca de nuevo. Este grupo de hackers chinos está detrás de una inquietante posibilidad que no habíamos contemplado hasta ahora: hackear extensiones de Chrome legales.
Al parece, ShadyPanda ha hackeado cinco extensiones de Chrome muy populares y seguras, que llevaban años activas, infectando a 4 millones de usuarios de Chrome y Edge con software espía.
Este malware, que se ha rastreado hasta 2024, enviaba continuamente a China datos extraídos de los PC infectados.
Un peligroso malware en las extensiones de Chrome
Según investigadores de la empresa de ciberseguridad Koi, una organización de hackers con sede en China conocida como ShadyPanda está llevando a cabo al menos dos campañas de malware mediante el uso de extensiones de navegador con código malicioso.
Usando una puerta trasera RCE, cinco extensiones, entre ellas Clean Master, con 300.000 usuarios, se convirtieron en malware a mediados de 2024, tras años de funcionamiento legítimo. Algunas de ellas tenían el sello de Destacado y Verificado de la propia Google.
Estas extensiones de Chrome ahora ejecutan código remoto cada hora, descargando y ejecutando JavaScript arbitrario con acceso completo al navegador. Supervisan cada visita a un sitio web, extraen el historial de navegación cifrado y recopilan huellas digitales completas del navegador.
Otra segunda operación de spyware afecta a 4 millones de usuarios. Se trata de otras cinco extensiones del mismo editor, entre ellas WeTab, con 3 millones de instalaciones. Recopilan activamente todas las URL visitadas, las consultas de búsqueda y los clics del ratón, y transmiten los datos a servidores en China.
Clean Master es un limpiador de caché el navegador. WeTab sirve para organizar y personalizar las pestañas de Chrome. Otras extensiones afectadas son Extension Play y Yearn New Tab, todas ellas apps de productividad o de tapices. Puedes consultar la lista completa aquí. Fueron publicadas por las compañías nuggetsno15 y 125 en Chrome, y rocket Zhang en Microsoft Edge.
En este caso el malware también ganaba comisiones a costa de las víctimas. Cada vez que el usuario con la extensión infectada compraba algo en eBay, Amazon, o Booking.com, el malware insertaba un código de afiliado que le permitía cobrar una comisión por esa compra.
Lo que desconcierta a los expertos, es que algunas de estas extensiones infectada funcionaron de forma segura durante cinco años. ¿Era un plan a largo plazo de ShadyPanda, es decir, eran extensiones creadas por ellos, o hackearon las extensiones legítimas?