Los investigadores de ciberseguridad han descubierto extensiones maliciosas de Google Chrome que vienen con la capacidad de secuestrar enlaces de afiliados, robar datos y recopilar tokens de autenticación OpenAI ChatGPT.

Una de las extensiones en cuestión es Amazon Ads Blocker (ID: pnpchphmplpdimbllknjoiopmfphellj), que afirma ser una herramienta para navegar por Amazon sin ningún contenido patrocinado. Un editor llamado «10Xprofit» lo subió a la Chrome Web Store el 19 de enero de 2026.

«La extensión bloquea los anuncios tal como se anuncian, pero su función principal está oculta: inyecta automáticamente la etiqueta de afiliado del desarrollador (10xprofit-20) en todos los enlaces de productos de Amazon y reemplaza los códigos de afiliado existentes de los creadores de contenido», dijo Kush Pandya, investigador de seguridad de Socket dijo .

Un análisis más detallado ha determinado que Amazon Ads Blocker forma parte de un grupo más grande de 29 complementos de navegador que se dirigen a varias plataformas de comercio electrónico como AliExpress, Amazon, Best Buy, Shein, Shopify y Walmart. La lista completa es la siguiente:

  • Generador de facturas de AliExpress (GRATIS) - AliInvoice ™️ (más de 10 plantillas) (ID: mabbblhhnmlckjbfppkopnccllieeocp)
  • Rastreador de precios de AliExpress: historial de precios y alertas (ID: loiofaagnefbonjdjklhacdhfkolcfgi)
  • Conversor rápido de divisas y precios de AliExpress (ID: mcaglpclodnaiimhicpjemhcinjfnjce)
  • Cuenta regresiva de ofertas de AliExpress: temporizador de venta flash (ID: jmlgkeaofknfmnbpmlmadnfnfajdlehn)
  • 10Xprofit: herramientas para vendedores de Amazon (FBA y FBM) (ID: ahlnchhkedmjbdocaamkbmhppnligmoh)
  • Bloqueador de anuncios de Amazon (ID: pnpchphmplpdimbllknjoiopmfphellj)
  • Búsqueda de ASIN en Amazon 10 veces más beneficios (ID: ljcgnobemekghgobhlplpehijemdgcgo)
  • Sugerencia de búsqueda de Amazon (ID: dnmfcojgjchpjcmjgpgonmhccibjopnb)
  • Amazon Product Scraper 10 veces más rentable (ID: mnacfoefejolpobogooghoclppjcgfcm)
  • Búsqueda rápida de marcas en Amazon (ID: nigamacoibifjohkmepefofohfedblgg)
  • Verificador de acciones de Amazon 999 (ID: johobikccpnmifjjpephegmfpipfbfme)
  • Ahorrador del historial de precios de Amazon (ID: kppfbknppimnoociaomjcdgkebdmenkh)
  • Copia del ASIN de Amazon (ID: aohfjaadlbiifnnajpobdhokecjokhab)
  • Generador de nube de palabras clave de Amazon (ID: gfdbbmngalhmegpkejhidhgdpmehlmnd)
  • Descargador de imágenes de Amazon (ID: cpcojeeblggnjjgnpiicndnahfhjdobd)
  • Ocultador de reseñas negativas de Amazon (ID: hkkkipfcdagiocekjdhobgmlkhejjfoj)
  • Verificador de puntuación de listados de Amazon (ID: jaojpdijbaolkhkifpgbjnhfbmckoojh)
  • Buscador de densidad de palabras clave de Amazon (ID: ekomkpgkmieaaekmaldmaljljahehkoi)
  • Notas adhesivas de Amazon (ID: hkhmodcdjhcidbcncgmnknjppphcpgmh)
  • Numeración de resultados de Amazon (ID: nipfdfkjnidadibpbflijepbllfkokac)
  • Calculadora de beneficios de Amazon Lite (ID: behckapcoohededfbgjgkgefgkpodeho)
  • Conversor de peso de Amazon (ID: dfnannaibdndmkienngjahldiofjbkmj)
  • Vista rápida de Amazon BSR (ID: nhilffccdbcjcnoopblecppbhalagpaf)
  • Recuento de caracteres y herramientas para vendedores de Amazon (ID: goikoilmhcgfidolicnbgggdpckdcoam)
  • Comprobador de precios global de Amazon (ID: mjcgfimemamogfmekphcfdehfkkbmldn)
  • Búsqueda por imagen de BestBuy (ID: nppjmiadmakeigiagilkfffplihgjlec)
  • SHEIN Búsqueda por imagen (ID: mpgaodghdhmeljgogbeagpbhgdbfofgb)
  • Búsqueda por imagen en Shopify (ID: gjlbbcimkbncedhofeknicfkhgaocohl)
  • Búsqueda de Walmart por imagen (ID: mcaihdkeijgfhnlfcdehniplmaapadgb)

Si bien «Amazon Ads Blocker» ofrece la funcionalidad anunciada, también incorpora código malintencionado que escanea todos los patrones de URL de los productos de Amazon en busca de cualquier etiqueta de afiliado sin necesidad de la interacción del usuario y lo reemplaza por «10xprofit-20» (o «_c3pfxv63» para AliExpress). En los casos en los que no hay etiquetas, se añade la etiqueta del atacante a cada URL.

Socket también señaló que la página de lista de extensiones de la Chrome Web Store hace divulgaciones engañosas, alegando que los desarrolladores ganan una «pequeña comisión» cada vez que un usuario utiliza un código de cupón para realizar una compra.

Los enlaces de afiliados se utilizan ampliamente en las redes sociales y sitios web. Se refieren a las URL que contienen una identificación específica que permite rastrear el tráfico y las ventas de un vendedor en particular. Cuando un usuario hace clic en este enlace para comprar el producto, el afiliado se lleva una parte de la venta.

Debido a que las extensiones buscan etiquetas existentes y las reemplazan, los creadores de contenido de redes sociales que comparten enlaces a productos de Amazon con sus propias etiquetas de afiliados pierden comisiones cuando los usuarios que han instalado el complemento hacen clic en esos enlaces.

Esto equivale a una violación de Políticas de Chrome Web Store , ya que requieren extensiones que utilicen enlaces de afiliados para divulgar con precisión el funcionamiento del programa, requieren la acción del usuario antes de cada inyección y nunca reemplazan los códigos de afiliados existentes.

«La divulgación describe una extensión de cupón/oferta con revelaciones activadas por los usuarios. El producto en sí es un bloqueador de anuncios con modificación automática de enlaces», explica Pandya. «Este desajuste entre la divulgación y la implementación genera un consentimiento falso».

«La extensión también viola la Política de propósito único combinando dos funciones no relacionadas (bloqueo de anuncios e inyección de afiliados) que deberían ser extensiones independientes».

También se ha descubierto que las extensiones identificadas extraen los datos de los productos y los filtran a «app.10xprofit [.] io», y las que se centran en AliExpress ofrecen falsos temporizadores de cuenta regresiva de «OFERTAS POR TIEMPO LIMITADO» en las páginas de productos para crear una falsa sensación de urgencia y apresurarlos a realizar compras para ganar comisiones en los enlaces de afiliados.

«Las extensiones que combinan funciones no relacionadas (bloqueo de anuncios, comparación de precios, búsqueda de cupones) con la inyección de afiliados deben considerarse de alto riesgo, especialmente aquellas cuyas divulgaciones no coinciden con el comportamiento real del código», afirma Socket.

La revelación se produce cuando Symantec, propiedad de Broadcom, señaló cuatro extensiones diferentes que tienen una base de usuarios combinada de más de 100 000 usuarios y están diseñadas para robar datos -

  • Good Tab (ID: glckmpfajbjppappjlnhhlofhdhlcgaj), que otorga permisos completos de portapapeles a un dominio externo («api.office123456 [.] com») para habilitar permisos remotos de lectura y escritura en el portapapeles
  • Children Protection (ID: giecgobdmgdamgffeoankaipjkdjbfep), que implementa la funcionalidad para recopilar cookies, inyectar anuncios y ejecutar JavaScript arbitrario mediante el contacto con un servidor remoto
  • DPS Websafe (ID: bjoddpbfndnpeohkmpbjfhcppkhgobcg), que cambia la búsqueda predeterminada por una que esté bajo su control para capturar los términos de búsqueda introducidos por los usuarios y, potencialmente, dirigirlos a sitios web malintencionados
  • Stock Informer (ID: beifiidafjobphnbhbbgmgnndjolfcho), que es susceptible a una vulnerabilidad entre sitios (XSS) de hace años en el Gráfico histórico de Stockdio Complemento de WordPress ( CVE-2020-28707 , puntuación CVSS: 6,1) que podría permitir a un atacante remoto ejecutar código JavaScript

«Si bien las extensiones de navegador pueden proporcionar una amplia gama de herramientas prácticas que nos ayudan a lograr más en línea, hay que tener mucho cuidado al elegir su instalación, incluso si se instalan desde fuentes confiables», dicen los investigadores Yuanjing Guo y Tommy Dong dijo .

Completando la lista de extensiones maliciosas hay otra red de 16 complementos (15 en la Chrome Web Store y uno en el mercado de complementos de Microsoft Edge) diseñados para interceptar y robar los tokens de autenticación de ChatGPT mediante la inyección de un script de contenido en chatgpt [.] com. En total, las extensiones se descargaron unas 900 veces, según LayerX.

Se considera que las extensiones forman parte de una campaña coordinada debido a la superposición del código fuente, los íconos, la marca y las descripciones -

  • Carpeta ChatGPT, descarga por voz, gestor de mensajes, herramientas gratuitas — ChatGPT Mods (ID: lmiigijnefpkjcenfbinhdpafehaddag)
  • Descarga de voz de ChatGPT, descarga de TTS — ChatGPT Mods (ID: obdobankihdfckkbfnoglefmdgmblcld)
  • Chat pin de ChatGpt, marcador — Mods de ChatGpt (ID: kefnabicobeigajdngijnnjmljehknjl)
  • Navegador de mensajes ChatGPT, desplazador de historial — ChatGPT Mods (ID: ifjimhnbnbniiiaihphlclkpfikcdkab)
  • Cambie de modelo ChatGPT, guarde los usos avanzados del modelo — ChatGPT Mods (ID: pfgbcfaiglkcoclichlojeaklcfboieh)
  • Exportación de ChatGPT, Markdown, JSON, imágenes — Mods de ChatGPT (ID: hljdedgemmmkdalbnmnpoimdedckdkhm)
  • Visualización de marca de tiempo de ChatGPT — Mods de ChatGPT (ID: afjenpabhpfodjpncbiiahbknnghabdc)
  • Eliminación masiva de ChatGPT, administrador de chat — Mods de ChatGPT (ID: gbcgjnbccjojicobfimcnfjddhpphaod)
  • Historial de búsqueda de ChatGPT, localiza mensajes específicos — Mods de ChatGPT (ID: ipjgfhcjeckaibnohigmbcaonfcjepmb)
  • Optimización rápida de ChatGPT — Mods de ChatGPT (ID: mmjmcfaejolfbenlplfoihnobnggljij)
  • Mensaje colapsado — Mods de ChatGpt (ID: lechagcebaneoafonkbfkljmbmaaoaec)
  • Gestión y conmutación de múltiples perfiles: mods de ChatGpt (ID: nhnfaiiobkpbenbbiblmgncgokeknnno)
  • Buscar con ChatGPT — ChatGPT Mods (ID: hpcejjllhbalkcmdikecfngkepppoknd)
  • Contador de tokens de ChatGPT — Mods de ChatGPT (ID: hfdpdgblphooommgcjdnnmhpglleaafj)
  • Gestor de mensajes de ChatGPT, carpeta, biblioteca, envío automático: mods de ChatGPT (ID: ioaeacncbhpmlkediaagefiegegknglc)
  • Mods de ChatGPT: descarga por voz de carpetas y más herramientas gratuitas (ID: jhohjhmbiakpgedidneeloaoloadlbdj)

Dado que las extensiones relacionadas con la inteligencia artificial (IA) son cada vez más comunes en los flujos de trabajo empresariales, el desarrollo pone de relieve una superficie de ataque emergente en la que los actores de amenazas utilizan como arma la confianza asociada a las marcas populares de IA para engañar a los usuarios para que las instalen.

Dado que estas herramientas suelen requerir un contexto de ejecución elevado dentro del navegador y tienen acceso a datos confidenciales, las extensiones aparentemente inofensivas pueden convertirse en un vector de ataque lucrativo, ya que permiten a los adversarios obtener un acceso persistente sin necesidad de aprovechar las fallas de seguridad o recurrir a otros métodos que puedan activar las alarmas de seguridad.

«La posesión de estos tokens proporciona un acceso a nivel de cuenta equivalente al del usuario, incluido el acceso al historial de conversaciones y a los metadatos», dijo la investigadora de seguridad Natalie Zargarov dijo . «Como resultado, los atacantes pueden replicar las credenciales de acceso de los usuarios a ChatGPT y hacerse pasar por ellos, lo que les permite acceder a todas las conversaciones, datos o códigos de ChatGPT del usuario».

Los navegadores se convierten en un vector de ataque lucrativo

Los hallazgos también coinciden con la aparición de un nuevo conjunto de herramientas de malware como servicio llamado Stanley que se vende en un foro ruso sobre ciberdelincuencia por entre 2000 y 6000 dólares, y permite a los delincuentes generar extensiones maliciosas para el navegador Chrome que se pueden utilizar para publicar páginas de suplantación de identidad en un elemento iframe HTML sin dejar de mostrar la URL legítima en la barra de direcciones.

Los clientes de la herramienta obtienen acceso a un panel C2 para administrar a las víctimas, configurar redireccionamientos falsos y enviar notificaciones de navegador falsas. Aquellos que estén dispuestos a gastar 6.000 dólares tienen la garantía de que cualquier extensión que creen con el kit superará el proceso de verificación de Google para la Chrome Web Store.

Estas extensiones adoptan la forma de utilidades inocuas para tomar notas que pasan desapercibidas. Sin embargo, su comportamiento malintencionado se activa cuando el usuario navega hasta un sitio web de interés para el atacante, como un banco, momento en el que se superpone un iframe a pantalla completa que contiene la página de suplantación de identidad, dejando intacta la barra de URL del navegador. Este engaño visual crea un punto ciego defensivo que puede inducir incluso a los usuarios más vigilantes a introducir sus credenciales o información confidencial en la página.

El 27 de enero de 2025, el servicio parecía haber desaparecido (probablemente debido a la divulgación pública), pero es muy posible que vuelva a aparecer con un nombre diferente en el futuro.

«Stanley ofrece una operación llave en mano de suplantación de sitios web disfrazada de extensión de Chrome, y su nivel premium promete una publicación garantizada en la Chrome Web Store», señaló Daniel Kelley, investigador de Varonis, a principios de esta semana. «Las políticas de BYOD, los entornos basados en SaaS y el trabajo remoto han convertido al navegador en el nuevo punto final. Los atacantes se han dado cuenta. Las extensiones de navegador maliciosas son ahora el principal vector de ataque».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.