Investigadores de ciberseguridad han descubierto una nueva campaña donde un grupo de 108 extensiones de **Google Chrome** se comunica con la misma infraestructura de comando y control (C2). El objetivo de las extensiones es recolectar datos del usuario y permitir abusos a nivel de navegador mediante la inyección de anuncios y código JavaScript arbitrario en las páginas web visitadas. Según **Socket**, las extensiones (lista completa [aquí](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2#:~:text=Chrome%20Extension%20IDs)) se publican bajo cinco identidades de editor distintas: **Yana Project**, **GameGen**, **SideGames**, **Rodeo Games** y **InterAlt**. Colectivamente, han acumulado alrededor de 20,000 instalaciones en la **Chrome Web Store**. "Las 108 enrutan credenciales robadas, identidades de usuario y datos de navegación a servidores controlados por el mismo operador", dijo el investigador de seguridad **Kush Pandya** [en un análisis](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2). De estas, 54 add-ons roban la identidad de cuentas de **Google** a través de OAuth2, 45 extensiones contienen una puerta trasera universal que abre URLs arbitrarias tan pronto como se inicia el navegador, y las restantes participan en una variedad de comportamientos maliciosos: * Exfiltran sesiones de **Telegram Web** cada 15 segundos * Eliminan encabezados de seguridad de **YouTube** y **TikTok** (es decir, Content Security Policy, X-Frame-Options y CORS) e inyectan superposiciones y anuncios de apuestas * Inyectan scripts de contenido en cada página que el usuario visita * Proximan todas las solicitudes de traducción a través del servidor del actor de amenaza  ### Haciéndose Pasar por Herramientas Legítimas Para parecer legítimas, las extensiones identificadas se presentan como clientes laterales de **Telegram**, juegos de tragamonedas y Keno, mejoradores de **YouTube** y **TikTok**, herramientas de traducción de texto y utilidades de página. La funcionalidad anunciada es diversa, con el objetivo de abarcar un amplio espectro, mientras comparten el mismo backend. Sin embargo, el código malicioso que se ejecuta en segundo plano captura información de sesión, inyecta scripts arbitrarios y abre URLs elegidas por el atacante.  ### Ejemplos de Extensiones Maliciosas Algunas de las extensiones identificadas incluyen: * **Telegram Multi-account** (ID: obifanppcpchlehkjipahhphbcbjekfa): Extrae el token `user_auth` utilizado por **Telegram Web** y exfiltra los datos a un servidor remoto. También puede sobrescribir `localStorage` con datos de sesión proporcionados por el actor de amenaza y forzar la carga de la aplicación de mensajería, reemplazando efectivamente la sesión activa de **Telegram** de la víctima. * **Web Client for Telegram - Teleside** (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno): Elimina los encabezados de seguridad de **Telegram** e inyecta scripts para robar sesiones de **Telegram**. * **Formula Rush Racing Game** (ID: akebbllmckjphjiojeioooidhnddnplj): Roba la identidad de la cuenta de **Google** del usuario, incluido el correo electrónico, el nombre completo, la URL de la foto de perfil y el identificador de la cuenta de **Google** cuando la víctima hace clic en el botón de inicio de sesión. "Cinco extensiones utilizan la API `declarativeNetRequest` de **Chrome** para eliminar encabezados de seguridad de sitios objetivo antes de que la página se cargue", dijo **Socket**. "Las 108 extensiones maliciosas comparten el mismo backend, alojado en 144.126.135[.]238". ### Atribución y Remediación La identidad de los actores detrás de estas extensiones que violan las políticas es actualmente desconocida. Sin embargo, el análisis del código fuente ha revelado comentarios en idioma ruso en varios add-ons. Se recomienda encarecidamente a los usuarios que hayan instalado alguna de estas extensiones que las eliminen de inmediato y cierren sesión en todas las sesiones de **Telegram Web** desde la aplicación móvil de **Telegram**.