Investigadores de seguridad informan que una campaña de larga duración que utiliza extensiones de navegador maliciosas ha afectado aproximadamente a 4,3 millones de usuarios, desplegando puertas traseras y software espía para robar credenciales y exfiltrar datos. Aunque las tiendas han eliminado muchos de los complementos ofensores, las advertencias de los investigadores enfatizan que la infraestructura del atacante y la persistencia instalada siguen siendo riesgos.

Una operación generalizada que distribuía extensiones maliciosas para Chrome y Edge ha infectado, según informes de ciberseguridad, a un estimado de 4,3 millones de usuarios. Las extensiones se hacían pasar por utilidades benignas, carteras o herramientas de productividad mientras introducían puertas traseras, registradores de teclas y spyware capaces de exfiltrar contraseñas guardadas, cookies y datos de formularios. Los investigadores hallaron infraestructura de comando y control que emitía actualizaciones y cargas adicionales, permitiendo la escalada lateral y la persistencia en equipos comprometidos. Las principales tiendas de extensiones eliminaron numerosos complementos señalados, pero los respondedores de incidentes advierten que muchos usuarios aún tienen código malicioso instalado y que los servidores de los atacantes siguen operativos para recolectar datos de instalaciones infectadas. Las mitigaciones recomendadas incluyen auditar las extensiones instaladas, eliminar complementos no confiables, rotar credenciales expuestas y ejecutar escaneo y remediación en endpoints. Se insta a las organizaciones a aplicar listas blancas de extensiones, desplegar monitorización telemétrica del navegador y educar a los usuarios sobre los riesgos de instalar complementos no verificados. El incidente pone de relieve los riesgos en la cadena de suministro y distribución en los ecosistemas de navegadores, donde complementos aparentemente pequeños pueden convertirse en plataformas de espionaje y fraude a gran escala.