Un pequeño grupo de investigadores hizo un descubrimiento sorprendente: alrededor de 30 extensiones de navegador alojadas en Chrome Web Store de Google, algunas durante 18 meses, estaban extrayendo subrepticiamente datos confidenciales de alrededor de 2,6 millones de dispositivos. Nada menos.
En definitiva, los hackers han mantenido los mismos propósitos que en años anteriores, los de estafarnos y robar a través de nuestros dispositivos digitales.
Publicado por Ars Technica, estos compromisos fueron revelados por el servicio de prevención de pérdida de datos Cyberhaven, quien descubrió que una extensión de Chrome utilizada por 400.000 de sus propios clientes había sido actualizada con un código que robaba sus datos confidenciales.
La extensión pirateada estuvo disponible durante algún tiempo antes de ser descubierta.
Esto se diseñó originalmente para evitar que los usuarios ingresen inadvertidamente datos confidenciales en correos electrónicos o en los sitios web que visitan.
Por phishing
Sin entrar en detalles, este descubrimiento ayudó a descubrir el esquema de phishing que fue utilizado por otros actores maliciosos. Unas treinta en total.
Security Anexo, una empresa de gestión y análisis de extensiones de navegador, dijo que descubrió otras 19 extensiones de Chrome que habían sido comprometidas de manera similar. En todos los casos, el atacante utilizó phishing para distribuir una nueva versión maliciosa y dominios personalizados para emitir comandos y recibir información de autenticación. En conjunto, las 20 extensiones se han descargado 1,46 millones de veces.
Otra extensión maliciosa, Reader Mode, llevó al descubrimiento de una biblioteca de códigos que los desarrolladores pueden utilizar para monetizar sus extensiones. Esta biblioteca de códigos recopila información sobre cada visita a un navegador. A cambio de integrar la biblioteca en extensiones, los desarrolladores reciben una comisión del creador de la biblioteca.
En total, estas extensiones se han instalado 1,14 millones de veces. La lista completa es la siguiente:
Cualquiera que haya utilizado una de estas extensiones comprometidas debería considerar cambiar sus contraseñas y otra información de autenticación.
Otras extensiones comprometidas:
