Un caballo de Troya en tu navegador: durante años, extensiones aparentemente útiles para productividad y compras se convirtieron en spyware con backdoors, comprometiendo a 4,3 millones de usuarios de Google Chrome y Microsoft Edge, según una investigación de Koi. La campaña, atribuida por los investigadores al actor ShadyPanda, explotó la confianza en los marketplaces y la falta de supervisión continua.
Qué ocurrió y por qué importa
De acuerdo con Koi, la operación se extendió por siete años y combinó ingeniería social, paciencia operativa y abuso del ecosistema de extensiones. Los atacantes publicaron extensiones legítimas, acumularon millones de instalaciones y, una vez consolidada la base de usuarios, empujaron actualizaciones maliciosas que activaron spyware y puertas traseras con amplio acceso al navegador.
La táctica de la actualización diferida
La clave del éxito fue jugar a largo plazo: primero ganar reputación con reseñas positivas y etiquetas de Featured y Verified, y después introducir cambios de código en una actualización que los usuarios instalaron sin fricción. Koi indica que en 2024, tras superar las 300.000 descargas en una oleada concreta, ShadyPanda activó un backdoor en cinco extensiones que aún estaban disponibles en Chrome y Edge.
Cómo operaba el malware
El componente malicioso establecía vigilancia del navegador con alcance total. Cada hora contactaba con el dominio api.extensionplay[.]com para recibir y ejecutar JavaScript arbitrario con acceso a las APIs del navegador. Esto permitía:
- Inyectar contenido malicioso en cualquier sitio, incluso bajo HTTPS.
- Rastrear comportamiento de navegación y exfiltrar datos sensibles.
- Ejecutar código de forma remota mediante un backdoor de control.
En una campaña concreta, cinco extensiones alcanzaron a 300.000 usuarios con un backdoor de ejecución remota. Una de ellas, Clean Master, publicada por Starlab Technology, acumuló más de 200.000 instalaciones.
Escala, persistencia y servidores de control
Los investigadores señalan que las extensiones comunicaban datos a infraestructura de comando y control ubicada en China. En el momento del análisis, Koi detectó cinco extensiones con más de 4 millones de instalaciones que seguían activas en Microsoft Edge Add-ons. Posteriormente, tanto Google como Microsoft retiraron las extensiones de sus tiendas. Aun así, Koi advierte que la infraestructura para ataques a gran escala permanece en los navegadores ya infectados, hasta que el usuario elimine la extensión y limpie el entorno.
Respuesta de Google y Microsoft
Según The Register, Microsoft no respondió a solicitudes de comentario. Google confirmó que ninguna de las extensiones está disponible hoy en Chrome Web Store y aseguró que revisa cada actualización publicada, por pequeña que sea. Estas afirmaciones contrastan con la evidencia presentada por Koi sobre la falta de supervisión continua tras la aprobación inicial, una brecha que habría facilitado la campaña.
Campañas previas vinculadas a ShadyPanda
Koi vincula a ShadyPanda con operaciones anteriores. En 2023, una campaña inyectaba códigos de afiliados y rastreadores de Google Analytics para monetizar el tráfico de los usuarios. Otra, denominada Infinity V+, redirigía búsquedas y exfiltraba cookies, afectando la privacidad y la integridad de sesiones en servicios web.
Un fallo estructural en el ecosistema de extensiones
Para Koi, el caso evidencia una debilidad sistémica en la gestión de extensiones por parte de los marketplaces de navegadores. La revisión se concentra en el momento del envío, pero no existe un control continuo sobre lo que ocurre después, lo que abre la puerta a cambios maliciosos diferidos. En un contexto de ciberseguridad cada vez más complejo, con amenazas de spyware y exfiltración de datos, el modelo de confianza actual se muestra insuficiente sin telemetría y auditoría continuas.
La investigación subraya la necesidad de reforzar la seguridad del software en el ecosistema de extensiones, con verificaciones periódicas de actualizaciones, detección de comportamiento anómalo y políticas más estrictas para permisos y acceso a datos, especialmente en navegadores utilizados a diario en entornos personales y corporativos.
