Esta noticia forma parte del resumen del día:
INTERPOL, Apple y Google Chrome: golpes al cibercrimen, multas antimonopolio y extensiones que roban credenciales
25 de December de 2025
Ver resumen completo
Noticia 2 de 3

Detectan extensiones maliciosas de Chrome que roban credenciales de más de 170 sitios

Detectan extensiones maliciosas de Chrome que roban credenciales de más de 170 sitios

Investigadores de seguridad identificaron dos extensiones maliciosas de Google Chrome, publicadas por el mismo desarrollador, que roban credenciales y datos sensibles mediante técnicas de intercepción de tráfico y proxies man-in-the-middle (MitM). Las extensiones se promocionaban como herramientas de prueba de velocidad de red, dirigidas a desarrolladores y personal de comercio exterior, y monetizaban el acceso mediante suscripciones pagas.

Funcionamiento malicioso

El comportamiento observado confirma un abuso deliberado del modelo de permisos de extensiones:

  • Las extensiones inyectan credenciales proxy hardcodeadas (topfany / 963852wei) en desafíos de autenticación HTTP.

  • Todo el tráfico del navegador es redirigido a infraestructura controlada por los atacantes, alojada en phantomshuttle[.]space.

  • Cada cinco minutos, se exfiltran correos electrónicos, contraseñas en texto plano y metadatos, incluyendo:

    • Datos de tarjetas de crédito

    • Cookies de sesión

    • Tokens de API y otros secretos de aplicaciones

  • El alcance del robo supera los 170 dominios objetivo, afectando servicios web, plataformas empresariales y herramientas de desarrollo.

Este esquema convierte a la extensión en un proxy persistente, con visibilidad total del tráfico HTTPS del usuario.

Impacto, monetización y posible origen

La campaña habría estado activa durante al menos 8 años, lo que sugiere una operación madura y sostenida. Entre los indicadores relevantes:

  • Uso de Alibaba Cloud para alojar infraestructura.

  • Cobro de suscripciones “VIP” mediante Alipay y WeChat Pay, lo que apunta a un posible origen chino.

  • Las víctimas creían contratar un VPN o herramienta de red legítima, cuando en realidad habilitaban robo continuo de información.

El impacto es especialmente grave para desarrolladores, ya que el acceso a tokens, claves API y credenciales habilita ataques de cadena de suministro, compromiso de repositorios y movimientos laterales en entornos corporativos.

Recomendaciones de seguridad

Para usuarios individuales

  • Eliminar inmediatamente las extensiones afectadas.

  • Rotar todas las credenciales utilizadas desde el navegador.

  • Revocar tokens y claves API potencialmente expuestas.

Para organizaciones

  • Implementar listas blancas de extensiones permitidas.

  • Monitorear uso de proxies no autorizados y tráfico anómalo saliente.

  • Auditar permisos excesivos en add-ons, especialmente aquellos con pagos integrados.

  • Restringir el uso de extensiones que intercepten tráfico o requieran control total del navegador.

Fuente: https://www.malwarebytes.com/blog/news/2023/09/password-stealing-chrome-extension-smuggled-on-to-web-store
← Anterior INTERPOL golpea al cibercrimen en Áfric...
Siguiente → Italia multa a Apple con €98,6 millone...
Escrito por:
Luis Carreón
📰 Otras noticias del resumen
Noticia 1
INTERPOL golpea al cibercrimen en África y EE.UU. procesa a afiliado de ransomware Nefilim
Noticia 2 (Actual)
Detectan extensiones maliciosas de Chrome que roban credenciales de más de 170 sitios
Noticia 3
Italia multa a Apple con €98,6 millones por abuso de posición dominante con App Tracking Transparency
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al resumen completo Volver al inicio