En diciembre de 2025, investigadores de seguridad descubrieron dos extensiones maliciosas de Chrome publicadas como Phantom Shuttle que cuentan con capacidades para interceptar tráfico y capturar credenciales de acceso de los usuarios. Ambas extensiones fueron promovidas como herramientas de prueba de velocidad de red, pero ejecutaban operaciones maliciosas secretamente.
Estas extensiones, una con unos 2.000 usuarios y otra con cerca de 180, una vez activadas en modo proxy, redirigían tráfico de más de 170 dominios de alto valor —incluyendo servicios de desarrollo, redes sociales y plataformas empresariales, a través de servidores controlados por atacantes.
El código malicioso inyectaba credenciales hard-coded para autenticación automática ante desafíos HTTP y además enviaba periódicamente las credenciales de los usuarios a un servidor externo bajo control de los atacantes, lo que permitía monitoreo continuo de tráfico y captura de datos sensibles como contraseñas, cookies, API keys y otros tokens de sesión.
PRODUCTOS AFECTADOS Y SOLUCIÓN
| Producto | Versión / Identificador de la extensión | Solución |
|---|---|---|
| Extensión Google Chrome “Phantom Shuttle” | ID: fbfldogmkadejddihifklefknmikncaj | Eliminar inmediatamente la extensión del navegador. Revocar credenciales y sesiones potencialmente expuestas. Implementar políticas de restricción de extensiones en Chrome. |
| Extensión Google Chrome “Phantom Shuttle” | ID: ocpcmfmiidofonkbodpdhgddhlcmcofd | Desinstalar la extensión de todos los dispositivos afectados. Bloquear su reinstalación mediante políticas corporativas. Monitorear tráfico saliente hacia infraestructuras de comando y control. |
SOLUCIÓN
- Para el incidente específico de Phantom Shuttle, la solución inmediata es eliminar las extensiones maliciosas y revocar cualquier credencial o token que pueda haber sido expuesto.
- Establecer listados permitidos de extensiones (extension allowlist) y políticas de grupo en entornos corporativos para impedir instalación de extensiones no autorizadas.
- Bloquear y monitorizar tráfico hacia dominios C2 o proxies maliciosos asociados a estas campañas.
- Usar herramientas de Endpoint Detection & Response que puedan detectar comportamiento malicioso en extensiones de navegador.
- Mantener controles de seguridad de navegador centralizados, incluyendo revisiones periódicas de extensiones instaladas.
RECOMENDACIONES
- Revisar y eliminar cualquier extensión de navegador que no sea estrictamente necesaria o provenga de desarrolladores no verificados.
- Implementar políticas de seguridad que limiten la instalación de extensiones a un catálogo autorizado en todos los dispositivos corporativos.
- Educar a los usuarios para no pagar ni suscribirse a servicios integrados en extensiones sin verificar su legitimidad.
- Monitorear y bloquear comunicaciones de red a dominios externos sospechosos que puedan indicar tráfico malicioso desde extensiones comprometidas.
- Realizar auditorías periódicas de permisos otorgados a extensiones del navegador para evitar acceso excesivo a datos sensibles.
REFERENCIAS
- https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
- https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html
- https://cybernews.com/security/hundred-chrome-extensions-stealing-user-data/
- https://computerhoy.20minutos.es/ciberseguridad/borra-estas-extensiones-chrome-tienen-malware-han-descargado-23-millones-veces-1472082
- https://esgeeks.com/cuidado-extensiones-chrome-maliciosas/
- https://dailysecurityreview.com/security-spotlight/over-100-malicious-chrome-extensions-found-masquerading-as-ai-tools-vpns-and-crypto-utilities/