Investigadores de ciberseguridad han descubierto extensiones maliciosas de Google Chrome que vienen con capacidades para secuestrar enlaces de afiliados, robar datos y compilar tokens de autenticación OpenAI ChatGPT.
Una de las extensiones en cuestión es Amazon Ads Blocker (ID: pnpchphmplpdimbllknjoiopmfphellj), que afirma ser una utensilio para navegar por Amazon sin ningún contenido patrocinado. Fue subido a Chrome Web Store por un editor llamado “10Xprofit” el 19 de enero de 2026.
“La extensión bloquea los anuncios anunciados, pero su función principal está oculta: inyecta automáticamente la fórmula de afiliado del desarrollador (10xprofit-20) en cada enlace de producto de Amazon y reemplaza los códigos de afiliados existentes de los creadores de contenido”, dijo el investigador de seguridad de Socket, Kush Pandya.
Un exploración más detallado ha determinado que Amazon Ads Blocker es parte de un liga más ancho de 29 complementos de navegador que apuntan a varias plataformas de comercio electrónico como AliExpress, Amazon, Best Buy, Shein, Shopify y Walmart. La registro completa es la ulterior:
- Magneto de facturas de AliExpress (GRATIS) – AliInvoice™️ (más de 10 plantillas) (ID: mabbblhhnmlckjbfppkopnccllieeocp)
- Rastreador de precios de AliExpress: historial de precios y alertas (ID: loiofaagnefbonjdjklhacdhfkolcfgi)
- Conversor rápido de precios y divisas de AliExpress (ID: mcaglpclodnaiimhicpjemhcinjfnjce)
- Cuenta regresiva de ofertas de AliExpress: temporizador de ofertas flash (ID: jmlgkeaofknfmnbpmlmadnfnfajdlehn)
- 10Xprofit – Herramientas para vendedores de Amazon (FBA y FBM) (ID: ahlnchhkedmjbdocaamkbmhppnligmoh)
- Bloqueador de anuncios de Amazon (ID: pnpchphmplpdimbllknjoiopmfphellj)
- Búsqueda de ASIN de Amazon 10xprofit (ID: ljcgnobemekghgobhlplpehijemdgcgo)
- Sugerencia de búsqueda de Amazon (ID: dnmfcojgjchpjcmjgpgonmhccibjopnb)
- Rascador de productos de Amazon 10xprofit (ID: mnacfoefejolpobogooghoclppjcgfcm)
- Búsqueda rápida de marcas en Amazon (ID: nigamacoibifjohkmepefofohfedblgg)
- Comprobador de acciones de Amazon 999 (ID: johobikccpnmifjjpephegmfpipfbfme)
- Parquedad de historial de precios de Amazon (ID: kppfbknppimnoociaomjcdgkebdmenkh)
- Copia increíble de Amazon (ID: ahhfjadelbiifnanjpibbrob)
- Magneto de abundancia de palabras secreto de Amazon (ID: gfdbbmngalhmegpkejhidhgdpmehlmnd)
- Descargador de imágenes de Amazon (ID: cpcojeeblggnjjgnpiicndnahfhjdobd)
- Ocultador de reseñas negativas de Amazon (ID: hkkkipfcdagiocekjdhobgmlkhejjfoj)
- Comprobador de puntuación de relación de Amazon (ID: jaojpdijbaolkhkifpgbjnhfbmckoojh)
- Buscador de densidad de palabras secreto de Amazon (ID: ekomkpgkmieaaekmaldmaljljahehkoi)
- Notas adhesivas de Amazon (ID: hkhmodcdjhcidbcncgmnknjppphcpgmh)
- Numeración de resultados de Amazon (ID: nipfdfkjnidadibpbpbflijepbllfkokac)
- Calculadora de ganancias de Amazon Lite (ID: behckapcoohededfbgjgkgefgkpodeho)
- Convertidor de peso de Amazon (ID: dfnannaibdndmkienngjahldiofjbkmj)
- Traza rápida de Amazon BSR (ID: nhilffccdbcjcnoopblecppbhalagpaf)
- Herramientas de tendero y recuento de caracteres de Amazon (ID: goikoilmhcgfidolicnbgggdpckdcoam)
- Comprobador de precios mundial de Amazon (ID: mjcgfimemamogfmekphcfdehfkkbmldn)
- Búsqueda de BestBuy por imagen (ID: nppjmiadmakeigiagilkfffplihgjlec)
- SHEIN Búsqueda por imagen (ID: mpgaodghdhmeljgogbeagpbhgdbfofgb)
- Búsqueda de Shopify por imagen (ID: gjlbbcimkbncedhofeknicfkhgaocohl)
- Búsqueda de Walmart por imagen (ID: mcaihdkeijgfhnlfcdehniplmaapadgb)
Si perfectamente “Amazon Ads Blocker” ofrece la funcionalidad anunciada, incluso incorpora código zorro que escanea todos los patrones de URL de productos de Amazon en sondeo de cualquier fórmula de afiliado sin requerir ninguna interacción del legatario, y lo reemplaza con “10xprofit-20” (o “_c3pFXV63” para AliExpress). En los casos en los que no hay etiquetas, la fórmula del atacante se agrega a cada URL.
Socket incluso señaló que la página de relación de extensiones en Chrome Web Store hace divulgaciones engañosas, afirmando que los desarrolladores ganan una “pequeña comisión” cada vez que un legatario utiliza un código de cupón para realizar una transacción.
Los enlaces de afiliados se utilizan ampliamente en las redes sociales y sitios web. Se refieren a URL que contienen una identificación específica que permite el seguimiento del tráfico y las ventas de un comercializador en particular. Cuando un legatario hace clic en este enlace para comprar el producto, el afiliado apetito una parte de la cesión.
Oportuno a que las extensiones buscan etiquetas existentes y las reemplazan, los creadores de contenido de redes sociales que comparten enlaces de productos de Amazon con sus propias etiquetas de afiliados pierden comisiones cuando los usuarios que instalaron el complemento hacen clic en esos enlaces.
Esto equivale a una violación de las políticas de Chrome Web Store, ya que requieren extensiones que utilicen enlaces de afiliados para divulgar con precisión cómo funciona el software, requieren la obra del legatario antaño de cada inyección y nunca reemplazan los códigos de afiliados existentes.
“La divulgación describe una extensión de cupón/proposición con revelaciones activadas por el legatario. El producto positivo es un bloqueador de anuncios con modificación cibernética de enlaces”, explicó Pandya. “Este desajuste entre divulgación e implementación crea un consentimiento infiel”.
“La extensión incluso viola la política de Propósito Único al combinar dos funciones no relacionadas (cerco de anuncios e inyección de afiliados) que deberían ser extensiones separadas”.
Igualmente se ha descubierto que las extensiones identificadas extraen datos de productos y los exfiltran a “app.10xprofit(.)io”, y aquellas que se centran en AliExpress ofrecen falsos temporizadores de cuenta regresiva de “OFERTAS POR TIEMPO LIMITADO” en las páginas de productos para crear una falsa sensación de necesidad y apresurarlos a realizar compras para triunfar comisiones en enlaces de afiliados.
“Las extensiones que combinan funcionalidades no relacionadas (cerco de anuncios, comparación de precios, búsqueda de cupones) con inyección de afiliados deben tratarse como de parada peligro, particularmente aquellas con revelaciones que no coinciden con el comportamiento positivo del código”, dijo Socket.
La divulgación se produce cuando Symantec, propiedad de Broadcom, señaló cuatro extensiones diferentes que tienen una colchoneta de usuarios combinada que supera los 100.000 usuarios y están diseñadas para robar datos.
- Good Tab (ID: glckmpfajbjppappjlnhhlofhdhlacgaj), que otorga permisos completos del portapapeles a un dominio foráneo (“api.office123456(.)com”) para habilitar permisos remotos de recitación y escritura en el portapapeles.
- Children Protection (ID: giecgobdmgdamgffeoankaipjkdjbfep), que implementa una funcionalidad para cosechar cookies, inyectar anuncios y ejecutar JavaScript despótico contactando a un servidor remoto.
- DPS Websafe (ID: bjoddpbfndnpeohkmpbjfhcppkhgobcg), que cambia la búsqueda predeterminada a una bajo su control para capturar los términos de búsqueda ingresados por los usuarios y potencialmente redirigirlos a sitios web maliciosos.
- Stock Informer (ID: beifiidafjobphnbhbbgmgnndjolfcho), que es susceptible a una vulnerabilidad entre sitios (XSS) de hace primaveras en el complemento de WordPress Stockdio Historical Chart (CVE-2020-28707, puntuación CVSS: 6.1) que podría permitir a un atacante remoto ejecutar código JavaScript
“Si perfectamente las extensiones de navegador pueden proporcionar una amplia abanico de herramientas avíos para ayudarnos a alcanzar más resultados en lista, se debe tener mucho cuidado al nominar instalarlas, incluso cuando se instalan desde fuentes confiables”, dijeron los investigadores Yuanjing Guo y Tommy Dong.
Completando la registro de extensiones maliciosas se encuentra otra red de 16 complementos (15 en Chrome Web Store y uno en el mercado de complementos de Microsoft Edge) que están diseñados para interceptar y robar tokens de autenticación ChatGPT inyectando un script de contenido en chatgpt(.)com. En total, las extensiones se descargaron unas 900 veces, según LayerX.
Se considera que las extensiones forman parte de una campaña coordinada adecuado a las superposiciones en el código fuente, los iconos, la marca y las descripciones.
- Carpeta ChatGPT, descarga de voz, administrador de mensajes, herramientas gratuitas – ChatGPT Mods (ID: lmiigijnefpkjcenfbinhdpafehaddag)
- Descarga de voz ChatGPT, descarga TTS – ChatGPT Mods (ID: obdobankihdfckkbfnoglefmdgmblcld)
- Chat de pin de ChatGPT, registrador – Mods de ChatGPT (ID: kefnabicobeigajdngijnnjmljehknjl)
- Navegador de mensajes ChatGPT, desplazamiento del historial – Mods ChatGPT (ID: ifjimhnbnbniiiaihphlclkpfikcdkab)
- Cambio de maniquí ChatGPT, meter usos avanzados del maniquí – ChatGPT Mods (ID: pfgbcfaiglkcoclichlojeaklcfboieh)
- Exportación ChatGPT, Markdown, JSON, imágenes – Mods ChatGPT (ID: hljdedgemmmkdalbnmnpoimdedckdkhm)
- Visualización de marca de tiempo de ChatGPT: modificaciones de ChatGPT (ID: afjenpabhpfodjpncbiiahbknnghabdc)
- Aniquilación masiva de ChatGPT, Administrador de chat – Modificaciones de ChatGPT (ID: gbcgjnbccjojicobfimcnfjddhpphaod)
- Historial de búsqueda de ChatGPT, delimitar mensajes específicos – ChatGPT Mods (ID: ipjgfhcjeckaibnohigmbcaonfcjepmb)
- Optimización del mensaje ChatGPT – Mods ChatGPT (ID: mmjmcfaejolfbenlplfoihnobnggljij)
- Mensaje contraído – ChatGPT Mods (ID: lechagcebaneoafonkbfkljmbmaaoaec)
- Dirección y conmutación de perfiles múltiples: modificaciones ChatGPT (ID: nhnfaiiobkpbenbbiblmgncgokeknnno)
- Averiguar con ChatGPT – Modificaciones ChatGPT (ID: hpcejjllhbalkcmdikecfngkepppoknd)
- Contador de tokens ChatGPT – Modificaciones ChatGPT (ID: hfdpdgblphooommgcjdnnmhpglleaafj)
- Administrador de mensajes de ChatGPT, carpeta, biblioteca, giro forzoso – Modificaciones de ChatGPT (ID: ioaeacncbhpmlkediaagefiegegknglc)
- Mods ChatGPT: descarga de voz en carpetas y más herramientas gratuitas (ID: jhohjhmbiakpgedidneeloaoloadlbdj)
Transmitido que las extensiones relacionadas con la inteligencia sintético (IA) se vuelven cada vez más comunes en los flujos de trabajo empresariales, el exposición destaca una superficie de ataque emergente donde los actores de amenazas utilizan como armamento la confianza asociada con marcas populares de IA para engañar a los usuarios para que las instalen.
Oportuno a que dichas herramientas a menudo requieren un contexto de ejecución elevado adentro del navegador y tienen acercamiento a datos confidenciales, las extensiones aparentemente inofensivas pueden convertirse en un vector de ataque productivo, permitiendo a los adversarios obtener acercamiento persistente sin la condición de explotar fallas de seguridad o acudir a otros métodos que puedan activar alarmas de seguridad.
“La posesión de dichos tokens proporciona un acercamiento a nivel de cuenta equivalente al del legatario, incluido el acercamiento al historial de conversaciones y a los metadatos”, dijo la investigadora de seguridad Natalie Zargarov. “Como resultado, los atacantes pueden replicar las credenciales de acercamiento de los usuarios a ChatGPT y hacerse acontecer por ellos, permitiéndoles consentir a todas las conversaciones, datos o códigos de ChatGPT del legatario”.
Los navegadores se convierten en un productivo vector de ataque
Los hallazgos incluso coinciden con la aparición de un nuevo conjunto de herramientas de malware como servicio llamado Stanley que se vende en un foro ruso sobre delitos cibernéticos por entre 2.000 y 6.000 dólares, y permite a los delincuentes difundir extensiones maliciosas para el navegador Chrome que pueden estar de moda para servir páginas de phishing adentro de un hábitat iframe HTML sin dejar de mostrar la URL legítima en la mostrador de direcciones.
Los clientes de la utensilio obtienen acercamiento a un panel C2 para cuidar víctimas, configurar redireccionamientos falsos y cursar notificaciones falsas al navegador. Aquellos que estén dispuestos a utilizarse 6.000 dólares obtienen la fianza de que cualquier extensión que creen utilizando el kit pasará el proceso de investigación de Google para Chrome Web Store.
Estas extensiones toman la forma de inofensivas utilidades para tomar notas que pasan desapercibidas. Pero su comportamiento zorro se activa cuando el legatario navega a un sitio web de interés para el atacante, como un cárcel, momento en el que se superpone un iframe de pantalla completa que contiene la página de phishing, dejando intacta la mostrador de URL del navegador. Este patraña visual crea un punto ciego defensivo que puede engañar incluso a los usuarios más atentos para que introduzcan sus credenciales o información confidencial en la página.
A partir del 27 de enero de 2025, el servicio parece tener desaparecido, probablemente adecuado a la divulgación pública, pero es muy posible que pueda resurgir con un nombre diferente en el futuro.
“Stanley ofrece una operación clave en mano de suplantación de sitios web disfrazada de extensión de Chrome, con su nivel premium que promete publicación garantizada en Chrome Web Store”, señaló el investigador de Varonis, Daniel Kelley, a principios de esta semana. “Las políticas BYOD, los entornos SaaS y el trabajo remoto han convertido al navegador en el nuevo punto final. Los atacantes lo han notado. Las extensiones maliciosas del navegador son ahora el principal vector de ataque”.
