Incidente de exfiltración de datos en extensión ModHeader

La extensión ModHeader para Chrome y Edge, con más de 1.6 millones de instalaciones, fue retirada de las tiendas oficiales tras descubrirse que su versión 7.0.18 contenía un módulo dormido capaz de recolectar, cifrar y transmitir datos de dominios visitados por los usuarios. Aunque la funcionalidad de modificación de headers HTTP justifica sus amplias permisiones, el código implementaba un pipeline de exfiltración con almacenamiento en IndexedDB y un endpoint de upload a api.stanfordstudies.com/app/log. Aunque el mecanismo estaba bloqueado por una lista de permisos vacía en la versión analizada, su infraestructura completa —incluyendo cifrado AES-GCM y telemetría a extensions-hub.com— demuestra riesgos inherentes en extensiones de alto privilegio sin revisión continua.

Indicadores de compromiso (IoCs)

Tipo Indicador Contexto
ID de extensión idgpnmonknjnojddfkpgkljpfnnfcklj ModHeader
Versión afectada 7.0.18 Versión con código de exfiltración
URL de exfiltración https://api.stanfordstudies.com/app/log Endpoint de upload de datos
Dominio de telemetría extensions-hub.com Rastreo de instancias
Dominio de colección stanfordstudies.com Infraestructura sospechosa
IP compartida 3.147.61.167 Asociada a AWS
Almacenamiento IndexedDB (stores: settings, temp) Almacenamiento local de datos cifrados
Archivo de lógica assets/src/background-94ad634d.js Servicio worker con pipeline de colección
Clave de cifrado aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE AES-GCM hardcodeada

Productos afectados

La extensión ModHeader (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) para navegadores Google Chrome y Microsoft Edge, en su versión 7.0.18 y anteriores no actualizadas.

Solución

Retirar inmediatamente la extensión ModHeader (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) de todos los entornos gestionados y bloquear el acceso a los dominios stanfordstudies.com y extensions-hub.com.

Recomendaciones

Las organizaciones deben implementar listas blancas para extensiones de alto privilegio, realizar inventarios periódicos de software instalado en navegadores y revisar los valores sensibles (claves API, tokens de autenticación y cookies) que hayan sido configurados en headers personalizados por usuarios de ModHeader. Además, se recomienda monitorear el comportamiento de extensiones similares con permisos amplios, priorizando su revisión por equipos de seguridad.

Referencias