
La extensión ModHeader para Chrome y Edge, con más de 1.6 millones de instalaciones, fue retirada de las tiendas oficiales tras descubrirse que su versión 7.0.18 contenía un módulo dormido capaz de recolectar, cifrar y transmitir datos de dominios visitados por los usuarios. Aunque la funcionalidad de modificación de headers HTTP justifica sus amplias permisiones, el código implementaba un pipeline de exfiltración con almacenamiento en IndexedDB y un endpoint de upload a api.stanfordstudies.com/app/log. Aunque el mecanismo estaba bloqueado por una lista de permisos vacía en la versión analizada, su infraestructura completa —incluyendo cifrado AES-GCM y telemetría a extensions-hub.com— demuestra riesgos inherentes en extensiones de alto privilegio sin revisión continua.
Indicadores de compromiso (IoCs)
| Tipo | Indicador | Contexto |
|---|---|---|
| ID de extensión | idgpnmonknjnojddfkpgkljpfnnfcklj |
ModHeader |
| Versión afectada | 7.0.18 | Versión con código de exfiltración |
| URL de exfiltración | https://api.stanfordstudies.com/app/log |
Endpoint de upload de datos |
| Dominio de telemetría | extensions-hub.com |
Rastreo de instancias |
| Dominio de colección | stanfordstudies.com |
Infraestructura sospechosa |
| IP compartida | 3.147.61.167 | Asociada a AWS |
| Almacenamiento | IndexedDB (stores: settings, temp) |
Almacenamiento local de datos cifrados |
| Archivo de lógica | assets/src/background-94ad634d.js |
Servicio worker con pipeline de colección |
| Clave de cifrado | aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE |
AES-GCM hardcodeada |
Productos afectados
La extensión ModHeader (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) para navegadores Google Chrome y Microsoft Edge, en su versión 7.0.18 y anteriores no actualizadas.
Solución
Retirar inmediatamente la extensión ModHeader (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) de todos los entornos gestionados y bloquear el acceso a los dominios stanfordstudies.com y extensions-hub.com.
Recomendaciones
Las organizaciones deben implementar listas blancas para extensiones de alto privilegio, realizar inventarios periódicos de software instalado en navegadores y revisar los valores sensibles (claves API, tokens de autenticación y cookies) que hayan sido configurados en headers personalizados por usuarios de ModHeader. Además, se recomienda monitorear el comportamiento de extensiones similares con permisos amplios, priorizando su revisión por equipos de seguridad.
Referencias
