2 de diciembre de 2025

ShadyPanda: operación encubierta compromete a 4.3 millones de usuarios mediante extensiones de Chrome y Edge

ShadyPanda: operación encubierta compromete a 4.3 millones de usuarios mediante extensiones de Chrome y Edge

Una campaña de espionaje silenciosa y sostenida por más de siete años quedó al descubierto tras un informe de Koi Security, que detalla cómo la operación maliciosa ShadyPanda comprometió a más de 4.3 millones de usuarios mediante extensiones para Google Chrome y Microsoft Edge. Lo más alarmante: varias de estas extensiones comenzaron como herramientas legítimas y posteriormente fueron modificadas para incluir capacidades avanzadas de vigilancia y ejecución remota de código.

Cinco extensiones —entre ellas Clean Master, que incluso contaba con verificación oficial de Google— fueron alteradas en 2024 para ejecutar JavaScript arbitrario cada hora, permitiendo monitoreo activo del comportamiento del usuario, exfiltración cifrada del historial de navegación y fingerprinting completo del navegador. Solo Clean Master acumuló más de 300,000 instalaciones antes de ser convertida en un vector malicioso.

Capacidades avanzadas de ataque: MitM, robo de credenciales y secuestro de sesiones

El malware embebido en estas extensiones no se limita a la recolección de datos. Según el análisis, es capaz de:

  • Ejecutar ataques Man-in-the-Middle (MitM) mediante manipulación de tráfico.

  • Robar credenciales mediante interceptación de formularios y tokens de autenticación.

  • Realizar session hijacking, permitiendo a los atacantes tomar control de cuentas activas.

  • Redirigir consultas de búsqueda hacia dominios operados por los atacantes, con fines de monetización y seguimiento.

Esta combinación convierte a ShadyPanda en una de las campañas de abuso de extensiones más sofisticadas registradas en los últimos años.

Persistencia en Edge y riesgo continuo para los usuarios

Aunque Google eliminó varias de las extensiones maliciosas de la Chrome Web Store, múltiples versiones siguen activas en Microsoft Edge, ampliando el periodo de exposición y dificultando la mitigación rápida a nivel de usuario final.

La persistencia de estas versiones implica que millones de usuarios continúan expuestos a robo de información sensible y vigilancia encubierta.

Recomendaciones urgentes para personal técnico y usuarios avanzados

Para equipos de TI, administradores de endpoints y desarrolladores que gestionan flotas corporativas de navegadores, se recomienda:

  • Eliminar inmediatamente cualquier extensión asociada a la campaña ShadyPanda.

  • Forzar un reset de credenciales, tokens y sesiones persistentes.

  • Revisar logs de actividad en cuentas críticas para identificar accesos anómalos.

  • Implementar políticas de allowlist de extensiones en Chrome/Edge en entornos empresariales.

  • Auditar de forma periódica el inventario de extensiones, incluso aquellas previamente verificadas.

La operación ShadyPanda deja claro que la verificación de una extensión no garantiza su seguridad a largo plazo, y subraya la necesidad de adoptar controles más estrictos y una supervisión continua en el ecosistema de complementos de navegador.

Fuente: https://www.bleepingcomputer.com/news/security/shadypanda-browser-extensions-amass-43m-installs-in-malicious-campaign/
← Anterior India obliga a fabricantes a preinstalar...
Siguiente → Albiriox: nuevo malware Android en modal...
Escrito por:
Luis Carreón
📰 Otras noticias del día
India obliga a fabricantes a preinstalar app antifraude en todos los smartphones: un precedente para la seguridad móvil
Albiriox: nuevo malware Android en modalidad MaaS impulsa fraude on-device contra más de 400 apps financieras
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio