La empresa de seguridad de aplicaciones **Socket** ha identificado más de 100 extensiones maliciosas operando activamente dentro de la **Chrome Web Store** oficial. Estas extensiones están diseñadas para robar tokens de portador OAuth2 de **Google**, establecer backdoors y perpetrar fraude publicitario. Los investigadores determinaron que estas extensiones forman parte de una campaña coordinada, todas comunicándose con la misma infraestructura de comando y control (C2). Los actores de amenazas distribuyeron estas extensiones bajo cinco identidades de publicador diferentes, abarcando categorías como clientes de barra lateral de Telegram, juegos de tragamonedas y Keno, potenciadores de YouTube y TikTok, una herramienta de traducción de texto y utilidades generales. Según el informe, la campaña utiliza un backend central alojado en un VPS de Contabo. Este backend está dividido en múltiples subdominios responsables del secuestro de sesiones, la recopilación de identidad, la ejecución de comandos y la monetización. El análisis de **Socket** sugiere la participación de una operación rusa de malware-as-a-service (MaaS), basándose en comentarios encontrados en el código relacionados con la autenticación y el robo de sesiones.  ### Recopilación de Datos y Secuestro de Cuentas El grupo más grande de extensiones maliciosas, con un total de 78, inyecta HTML controlado por el atacante en la interfaz de usuario utilizando la propiedad ‘innerHTML’. Esto permite a los atacantes manipular el contenido mostrado al usuario. El segundo grupo más grande, que comprende 54 extensiones, utiliza ‘chrome.identity.getAuthToken’ para recopilar datos sensibles del usuario, incluyendo direcciones de correo electrónico, nombres, fotos de perfil e IDs de cuenta de **Google**. Estas extensiones también apuntan al token de portador OAuth2 de **Google**, una credencial de corta duración que otorga a las aplicaciones acceso a los datos de un usuario o la capacidad de actuar en su nombre. Comprometer este token permite a los atacantes suplantar al usuario.  Un tercer grupo de 45 extensiones incluye una función oculta que se ejecuta al iniciar el navegador. Esta función actúa como un backdoor, obteniendo comandos del servidor C2 y siendo capaz de abrir URLs arbitrarias sin requerir ninguna interacción del usuario. Una extensión particularmente preocupante destacada por **Socket** roba sesiones de **Telegram** Web cada 15 segundos. Extrae datos de sesión de ‘localStorage’ y el token de sesión para **Telegram** Web, transmitiendo esta información al C2. “La extensión también maneja un mensaje entrante (set_session_changed) que realiza la operación inversa: borra el localStorage de la víctima, lo sobrescribe con datos de sesión proporcionados por el actor de amenazas y recarga forzosamente Telegram”, explica **Socket**. “Esto permite al operador cambiar el navegador de cualquier víctima a una cuenta de **Telegram** diferente sin el conocimiento de la víctima”. Los investigadores también identificaron tres extensiones diseñadas para eliminar encabezados de seguridad e inyectar anuncios en **YouTube** y **TikTok**, una extensión que proxy las solicitudes de traducción a través de un servidor malicioso, y una extensión inactiva de robo de sesiones de **Telegram** que utiliza infraestructura escalonada. **Socket** ha informado de la campaña a **Google**, pero en el momento de la publicación de su informe, todas las extensiones maliciosas permanecían disponibles en la **Chrome Web Store**. BleepingComputer ha confirmado que muchas de las extensiones listadas en el informe de **Socket** siguen activas. Se han puesto en contacto con **Google** para obtener comentarios, pero aún no han recibido respuesta. Se aconseja encarecidamente a los usuarios que revisen sus extensiones instaladas comparándolas con los IDs publicados por **Socket** y desinstalen inmediatamente cualquier coincidencia.