Los investigadores de ciberseguridad de SecurityAnnex han identificado una sofisticada operaci贸n de malware que utiliza 245 extensiones maliciosas distribuidas en Chrome, Firefox y Edge para transformar navegadores de usuarios en una red de scraping comercial. Con aproximadamente 909,000 descargas totales, estas extensiones representan una amenaza significativa para la privacidad y seguridad digital.
La biblioteca MellowTel-js: herramienta de monetizaci贸n encubierta
El denominador com煤n de todas las extensiones comprometidas es la implementaci贸n de MellowTel-js, una biblioteca de c贸digo abierto que se presenta como una soluci贸n de monetizaci贸n para desarrolladores. Esta herramienta opera bajo la fachada de funcionalidades leg铆timas como gesti贸n de marcadores, administraci贸n del portapapeles, control de volumen y generaci贸n de n煤meros aleatorios.
La investigaci贸n revel贸 conexiones directas entre MellowTel y Olostep, una empresa que se autodenomina 芦la API de scraping m谩s confiable y econ贸micamente eficiente del mundo禄. Los clientes de Olostep, incluyendo startups de inteligencia artificial, pagan por acceder a contenido web a trav茅s de esta red distribuida de navegadores infectados.
Arquitectura t茅cnica del ataque y evasi贸n de defensas
La biblioteca MellowTel implementa un mecanismo sofisticado para eludir las medidas de seguridad nativas de los navegadores. Una vez instalada, la extensi贸n establece una conexi贸n WebSocket con servidores AWS que recopilan datos sobre ubicaci贸n geogr谩fica, ancho de banda y patrones de actividad de los usuarios.
El componente m谩s peligroso del sistema es la inyecci贸n de iframes ocultos en las p谩ginas web visitadas. Estos marcos invisibles se conectan autom谩ticamente a sitios web especificados por el servidor remoto, ejecutando operaciones de scraping sin conocimiento ni consentimiento del usuario.
T茅cnicas de bypass de pol铆ticas de seguridad
Para superar mecanismos de protecci贸n como Content-Security-Policy y X-Frame-Options, la biblioteca solicita permisos cr铆ticos como declarativeNetRequest y access. Estos privilegios permiten la modificaci贸n din谩mica de solicitudes y respuestas HTTP, eliminando selectivamente los encabezados de seguridad de las respuestas del servidor.
Esta manipulaci贸n de las defensas del navegador crea vulnerabilidades adicionales, exponiendo a los usuarios a ataques de cross-site scripting (XSS) que normalmente ser铆an bloqueados por los mecanismos de seguridad integrados.
Impacto en entornos corporativos y estado actual de la amenaza
El riesgo que representa MellowTel se amplifica considerablemente en redes corporativas, donde existen pol铆ticas estrictas sobre el c贸digo ejecutable y los sitios web accesibles. Las conexiones encubiertas a recursos no autorizados pueden comprometer las pol铆ticas de seguridad empresarial y crear vectores de ataque adicionales.
Tras la publicaci贸n del informe de SecurityAnnex, las principales tiendas de extensiones iniciaron procesos de eliminaci贸n masiva de los plugins infectados. Sin embargo, Arsian Ali, creador de MellowTel, contin煤a defendiendo su desarrollo, argumentando que busca crear una 芦alternativa de c贸digo abierto a los mecanismos publicitarios tradicionales禄.
Estrategias de protecci贸n y mejores pr谩cticas
Para mitigar estos riesgos, los usuarios deben implementar auditor铆as regulares de extensiones instaladas, prestando especial atenci贸n a los permisos solicitados. Es crucial ejercer precauci贸n extrema con extensiones que requieren acceso para modificar solicitudes web o solicitan permisos amplios de acceso a sitios web.
Este incidente subraya la evoluci贸n continua de las amenazas cibern茅ticas y la necesidad urgente de controles m谩s rigurosos en el ecosistema de extensiones de navegador. Los usuarios deben reconocer que incluso los plugins aparentemente inofensivos pueden ocultar esquemas complejos de recolecci贸n de datos y explotaci贸n de recursos computacionales sin autorizaci贸n expl铆cita.
