Extensión de Chrome con más de 10 millones de usuarios ocultaba capacidad de inyección de JavaScript

Una investigación sobre la extensión Adblock for YouTube (identificador cmedhionkhpnakcndndgjdbohmhepckk) ha revelado que el complemento incorporaba lógica capaz de cargar y ejecutar código JavaScript arbitrario en el contexto del navegador del usuario. El análisis, realizado por la firma Island, es especialmente llamativo porque la extensión contaba con el sello «Destacada» de la Chrome Web Store y superaba los diez millones de instalaciones activas en el momento del descubrimiento.

Una capacidad que permanecía inactiva

Lo que hace especialmente preocupante este caso no es solo la naturaleza de la funcionalidad descubierta, sino el hecho de que permanecía dormante: no se activaba durante el uso habitual, lo que complica enormemente su detección mediante análisis estáticos o revisiones manuales superficiales. Este patrón —incluir capacidades maliciosas que no se manifiestan hasta un momento determinado o bajo condiciones específicas— es una táctica cada vez más habitual en extensiones de navegador comprometidas o desarrolladas con intenciones dudosas desde el origen.

Las extensiones de navegador operan en un entorno de alta confianza: tienen acceso al DOM de las páginas visitadas, pueden interceptar peticiones de red y, dependiendo de los permisos declarados, interactuar con cookies y credenciales. Una extensión que pueda inyectar JavaScript de forma arbitraria en ese contexto convierte el navegador en un vector de ataque potencial contra el propio usuario y cualquier sesión web activa.

El problema de fondo: confianza excesiva en las tiendas oficiales

Este incidente ilustra una brecha de percepción habitual en entornos corporativos y domésticos: el distintivo «Destacada» o la elevada base de usuarios de una extensión no garantizan la ausencia de comportamientos no declarados. Los procesos de revisión de las tiendas oficiales, aunque han mejorado en los últimos años, no son infalibles ante código que permanece inerte durante la fase de evaluación.

Desde la perspectiva de la seguridad empresarial, cada extensión instalada en los navegadores corporativos representa una superficie de ataque que merece la misma atención que cualquier otro software de terceros. La gestión centralizada de extensiones permitidas, combinada con la monitorización del comportamiento del navegador, son controles básicos que muchas organizaciones todavía no aplican de forma sistemática.

Recomendaciones inmediatas

  • Auditar las extensiones instaladas en los navegadores corporativos e identificar cuáles cuentan con permisos amplios (acceso a todos los sitios, capacidad de leer y modificar datos).
  • Eliminar o bloquear la extensión con ID cmedhionkhpnakcndndgjdbohmhepckk hasta que exista una aclaración oficial sobre su comportamiento.
  • Establecer listas de extensiones permitidas mediante políticas de navegador (GPO, Chrome Browser Cloud Management u equivalentes).
  • Revisar los logs de red en busca de comunicaciones inusuales originadas desde procesos del navegador hacia dominios no reconocidos.

¿Estás cubierto en DefensOps?

Aunque este incidente no tiene asignado un CVE concreto ni técnicas MITRE específicas en este momento, DefensOps dispone de cobertura genérica a través de su motor de correlación, disponible desde el plan Essential. El motor es capaz de identificar patrones de comportamiento anómalos asociados a procesos de navegador, conexiones salientes inesperadas y actividad inusual en endpoints que podría correlacionarse con el abuso de extensiones comprometidas.

Si quieres saber cómo DefensOps puede ayudarte a detectar amenazas latentes en tu entorno antes de que se activen, consulta nuestros planes y solicita una demo.


Fuente: The Hacker News – Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability