Un actor de amenazas conocido como ShadyPanda ha sido vinculado a una campaña de extensiones de navegador que ha acumulado más de 4.3 millones de instalaciones a lo largo de siete años. Según un informe de Koi Security, cinco de estas extensiones, que en sus inicios eran legítimas, fueron modificadas a mediados de 2024, atrayendo hasta 300,000 instalaciones antes de ser eliminadas de las tiendas.
¡Te vendemos spyware!
Estas extensiones ahora ejecutan código de forma remota, lo que permite descargar y ejecutar JavaScript arbitrario con acceso total al navegador. Según el investigador de seguridad Tuval Admoni, estas herramientas monitorean cada visita y exfiltran el historial de navegación, además de recopilar huellas digitales del navegador de los usuarios. Algunas de las extensiones inyectan de manera encubierta códigos de seguimiento al visitar sitios populares como eBay y Amazon, generando comisiones ilícitas de las compras de los usuarios.
La situación se agravó cuando, en 2024, el ataque evolucionó para incluir el control activo del navegador mediante la redirección de consultas de búsqueda y la exfiltración de cookies de dominios específicos. Las extensiones también pueden llevar a cabo ataques ‘adversario en el medio’, lo que facilita el robo de credenciales y la inyección de código en sitios web.
Aunque la actividad maliciosa se observó por primera vez en 2023, cuando se publicaron 20 extensiones en la Chrome Web Store y 125 en Microsoft Edge, la manipulación de estos programas sugiere una explotación sistemática de vulnerabilidades que persiste desde hace años. Koi Security advierte a los usuarios que han instalado estas extensiones que las eliminen de inmediato y roten sus credenciales, ya que el mecanismo de autoactualización, diseñado para mantener la seguridad, se ha convertido en un vector de ataque.
La historia de ShadyPanda resalta la necesidad de una supervisión más rigurosa de las extensiones de navegador, ya que los marketplaces revisan las aplicaciones al momento de su presentación, pero no monitorizan su comportamiento después de la aprobación.