Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de transferencia de propiedad , que ofrece a los atacantes una forma de enviar malware a clientes intermedios, inyectar código arbitrario y recopilar datos confidenciales.

Las extensiones en cuestión, ambas asociadas originalmente a un desarrollador llamado "akshayanuonline@gmail.com" (BuildMelon), se enumeran a continuación:

  • QuickLens - Pantalla de búsqueda con Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) - 7.000 usuarios
  • ShotBird: capturas de pantalla desplazables, imágenes de tweets y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) - 800 usuarios

Si bien QuickLens ya no está disponible para su descarga en la Chrome Web Store, ShotBird sigue siendo accesible al momento de escribir este artículo. ShotBird fue lanzado originalmente en noviembre de 2024, con su desarrollador, Akshay Anu S (@AkshayAnuOnline), reclamando en X, que la extensión es adecuada para «crear imágenes profesionales similares a las de un estudio» y que todo el procesamiento se realiza localmente.

De acuerdo con investigación publicado por monxresearch-sec, el complemento para navegadores recibió una marca de «Destacado» en enero de 2025, antes de pasarlo a otro desarrollador (» loraprice198865@gmail.com «) en algún momento del mes pasado.

De manera similar, QuickLens salió a la venta en ExtensionHub el 11 de octubre de 2025 por "akshayanuonline@gmail.com" apenas dos días después de su publicación, John Tuckner, de Annex Security dijo . El 1 de febrero de 2026, el propietario de la extensión pasó a ser "support@doodlebuggle.top" en la página de anuncios de Chrome Web Store.

adsense

La actualización maliciosa que se introdujo en QuickLens el 17 de febrero de 2026 mantuvo la funcionalidad original, pero introdujo la capacidad de eliminar los encabezados de seguridad (por ejemplo, X-Frame-Options) de cada respuesta HTTP, lo que permitió que los scripts malintencionados que se inyectaran en una página web realizaran solicitudes arbitrarias a otros dominios, sin pasar por alto la Política de seguridad de contenido ( CSP ) protecciones.

Además, la extensión contenía código para registrar el país del usuario, detectar el navegador y el sistema operativo y sondear un servidor externo cada cinco minutos para recibir JavaScript, que se almacena en el almacenamiento local del navegador y se ejecuta cada vez que se carga la página añadiendo un <img>elemento GIF oculto 1 × 1 y configurando la cadena de JavaScript como su atributo «onload». Esto, a su vez, hace que el código malicioso se ejecute una vez cargada la imagen.

«El código malicioso real nunca aparece en los archivos fuente de la extensión», explicó Tuckner. «El análisis estático muestra una función que crea elementos de imagen. Eso es todo. Las cargas útiles se entregan desde el C2 y se almacenan en el almacenamiento local; solo existen durante el tiempo de ejecución».

Un análisis similar de la extensión ShotBird realizado por monxresearch-sec descubrió el uso de llamadas directas para entregar código JavaScript en lugar de crear una imagen de 1 x 1 píxel para activar la ejecución. El JavaScript está diseñado para mostrar un mensaje falso de actualización del navegador Google Chrome. Al hacer clic en los usuarios, se muestra una página tipo ClickFix para abrir el cuadro de diálogo Ejecutar de Windows, iniciar "cmd.exe» y pegar un comando de PowerShell, lo que resulta en la descarga de un ejecutable llamado "googleupdate.exe" en los hosts de Windows.

Luego, el malware procede a conectar la entrada, el área de texto, seleccionar elementos HTML y capturar cualquier dato ingresado por la víctima. Esto podría incluir credenciales, PIN, detalles de la tarjeta, fichas e identificadores gubernamentales. También está equipado para extraer los datos almacenados en el navegador web Chrome, como las contraseñas, el historial de navegación y la información relacionada con las extensiones.

«Se trata de una cadena de abuso en dos etapas: el control remoto del navegador por parte de la extensión y el pivote de ejecución a nivel de host mediante actualizaciones falsas», afirma el investigador. «El resultado es un alto riesgo de exposición de los datos en el navegador y la confirmación de la ejecución de scripts desde el servidor en al menos un sistema afectado. En términos prácticos, esto aumenta el impacto, que pasa de ser un abuso exclusivo del navegador a un posible robo de credenciales y, en general, a un riesgo más amplio para los terminales».

Se considera que el mismo actor de amenazas está detrás del compromiso de las dos extensiones y los utiliza en paralelo, dado el uso de un patrón de arquitectura de comando y control (C2) idéntico, los señuelos de ClickFix inyectados en el contexto de navegación y la transferencia de propiedad como vector de infección.

Curiosamente, el desarrollador original de la extensión tiene publicado varios otra extensiones bajo su nombre en la Chrome Web Store, y todos ellos han recibido una insignia destacada. El desarrollador también tiene un cuenta en ExtensionHub , aunque actualmente no hay ninguna extensión a la venta. Es más, la persona tiene intentó vender dominios como «AIInfrastack [.] com» por 2500 dólares, afirmando que el «dominio de palabras clave sólidas» es «relevante para [sic] un ecosistema de IA en rápido crecimiento».

«Este es el problema de la extensión de la cadena de suministro en pocas palabras», dijo Annex Security. «Una extensión «destacada», revisada y funcional cambia de propietario, y el nuevo propietario envía una actualización para convertirla en un arma para todos los usuarios existentes».

La revelación se produce cuando Microsoft advirtió sobre la extensiones de navegador maliciosas basadas en Chromium que se hacen pasar por herramientas legítimas de asistente de IA para recopilar historiales de chat y datos de navegación de LLM.

«A gran escala, esta actividad convierte una extensión de productividad aparentemente confiable en un mecanismo persistente de recopilación de datos integrado en el uso diario de los navegadores empresariales, lo que pone de relieve el creciente riesgo que representan las extensiones de navegador en los entornos corporativos», dijo el equipo de investigación de seguridad de Microsoft Defender dijo .

En las últimas semanas, los cazadores de amenazas también han identificado una extensión maliciosa de Chrome llamada LMτoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi) que se hace pasar por IMToken y se anuncia como un visualizador de colores hexadecimales en la Chrome Web Store para robar frases iniciales de criptomonedas mediante redireccionamientos de suplantación de identidad.

«En lugar de ofrecer la herramienta inofensiva que promete, la extensión abre automáticamente un sitio de suplantación de identidad controlado por los actores de amenazas tan pronto como se instala y vuelve a abrir cada vez que el usuario hace clic en él», dijo Kirill Boychenko, investigador de Socket dijo .

«Durante la instalación, la extensión obtiene una URL de destino desde un punto final codificado de JSONKeeper (jsonkeeper [.] com/b/Kuwne) y abre una pestaña que apunta a un dominio similar al de Chrome Web Store, chroomewedbstorre-detail-extension [.] com. La página de inicio se hace pasar por imToken utilizando homoglíficos de escritura mixta y dirige a las víctimas hacia flujos de captura de credenciales que solicitan una frase inicial de 12 o 24 palabras o una clave privada».

Otras extensiones maliciosas marcado de Palo Alto Networks Networks Unit 42 se dedica al secuestro de afiliados y a la exfiltración de datos, y uno de ellos, Chrome MCP Server, AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) — sirviendo como un troyano de acceso remoto completo mientras se hace pasar por una herramienta de automatización de IA mediante el Protocolo de contexto modelo (MCP).

Los investigadores de la Unidad 42 también han revelado que tres extensiones populares de Chrome , es decir, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, que Koi identificó como rastreadores de conversaciones de IA de varios chatbots como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAi Grok, Meta AI y Perplexity, han regresado a la Chrome Web Store.

«Tras la divulgación pública de la campaña el 15 de diciembre de 2025, el desarrollador actualizó las versiones benignas en enero de 2026, probablemente en respuesta al informe», dicen los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov dijo .

Además, la empresa de ciberseguridad identificó una extensión llamada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), que tiene más de 100 000 usuarios y cuya versión anterior comunicaba con indicadores de red conocidos asociados a una campaña denominada Dirección roja para llevar a cabo el secuestro del navegador.

Eso no es todo. Una nueva campaña que comprende Se ha descubierto que más de 30 000 dominios inician una cadena de redireccionamiento para dirigir el tráfico a una página de destino («ansiblealgorithm [.] com») que se utiliza para distribuir una extensión de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

La extensión utiliza la API chrome_settings_overrides para modificar la configuración de Chrome y configurar la página de inicio del navegador en omnibar [.] ai, así como para convertir el proveedor de búsqueda predeterminado en una URL personalizada: «go.omnibar [.] ai/? api=omni&sub1=omnibar.ai&q= {searchTerms}» y realiza un seguimiento de las consultas mediante un parámetro de API.

enlaces

Se cree que el objetivo final es secuestrar navegadores como parte de lo que parece ser un plan de marketing de afiliación a gran escala, dijo Unit 42, y agregó que identificó otras dos extensiones que muestran el mismo comportamiento de secuestro de navegadores consistente con OmniBar mediante la anulación de la página de inicio y la interceptación de búsquedas -

  • Herramienta de algoritmo de salida AI (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)
  • Extensión oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)

Una investigación más profunda de otras tres extensiones publicadas por el mismo desarrollador (» jon@status77.com "y Status 77) ha descubierto que dos de ellas rastrean la actividad de navegación de los usuarios para inyectar marcadores de afiliación, mientras que una tercera extrae y transmite los hilos de comentarios de los usuarios de Reddit a un punto final de API controlado por el desarrollador -

  • Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)
  • Extensión oficial de Giant Coupons (ID: akdajpomgjgldidenledjjiemgkjcchc)
  • Consenso: resumidor de comentarios de Reddit (ID: mkkfklcadlnkhgapjeejemflhamcdjld)

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen de sus navegadores con efecto inmediato, eviten cargar o instalar extensiones de productividad no verificadas, auditen los navegadores para ver si hay extensiones desconocidas y las desinstalen.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.