Los investigadores de ciberseguridad de SecurityAnnex han identificado una sofisticada operación de malware que utiliza 245 extensiones maliciosas distribuidas en Chrome, Firefox y Edge para transformar navegadores de usuarios en una red de scraping comercial. Con aproximadamente 909,000 descargas totales, estas extensiones representan una amenaza significativa para la privacidad y seguridad digital.
La biblioteca MellowTel-js: herramienta de monetización encubierta
El denominador común de todas las extensiones comprometidas es la implementación de MellowTel-js, una biblioteca de código abierto que se presenta como una solución de monetización para desarrolladores. Esta herramienta opera bajo la fachada de funcionalidades legítimas como gestión de marcadores, administración del portapapeles, control de volumen y generación de números aleatorios.
La investigación reveló conexiones directas entre MellowTel y Olostep, una empresa que se autodenomina «la API de scraping más confiable y económicamente eficiente del mundo». Los clientes de Olostep, incluyendo startups de inteligencia artificial, pagan por acceder a contenido web a través de esta red distribuida de navegadores infectados.
Arquitectura técnica del ataque y evasión de defensas
La biblioteca MellowTel implementa un mecanismo sofisticado para eludir las medidas de seguridad nativas de los navegadores. Una vez instalada, la extensión establece una conexión WebSocket con servidores AWS que recopilan datos sobre ubicación geográfica, ancho de banda y patrones de actividad de los usuarios.
El componente más peligroso del sistema es la inyección de iframes ocultos en las páginas web visitadas. Estos marcos invisibles se conectan automáticamente a sitios web especificados por el servidor remoto, ejecutando operaciones de scraping sin conocimiento ni consentimiento del usuario.
Técnicas de bypass de políticas de seguridad
Para superar mecanismos de protección como Content-Security-Policy y X-Frame-Options, la biblioteca solicita permisos críticos como declarativeNetRequest y access. Estos privilegios permiten la modificación dinámica de solicitudes y respuestas HTTP, eliminando selectivamente los encabezados de seguridad de las respuestas del servidor.
Esta manipulación de las defensas del navegador crea vulnerabilidades adicionales, exponiendo a los usuarios a ataques de cross-site scripting (XSS) que normalmente serían bloqueados por los mecanismos de seguridad integrados.
Impacto en entornos corporativos y estado actual de la amenaza
El riesgo que representa MellowTel se amplifica considerablemente en redes corporativas, donde existen políticas estrictas sobre el código ejecutable y los sitios web accesibles. Las conexiones encubiertas a recursos no autorizados pueden comprometer las políticas de seguridad empresarial y crear vectores de ataque adicionales.
Tras la publicación del informe de SecurityAnnex, las principales tiendas de extensiones iniciaron procesos de eliminación masiva de los plugins infectados. Sin embargo, Arsian Ali, creador de MellowTel, continúa defendiendo su desarrollo, argumentando que busca crear una «alternativa de código abierto a los mecanismos publicitarios tradicionales».
Estrategias de protección y mejores prácticas
Para mitigar estos riesgos, los usuarios deben implementar auditorías regulares de extensiones instaladas, prestando especial atención a los permisos solicitados. Es crucial ejercer precaución extrema con extensiones que requieren acceso para modificar solicitudes web o solicitan permisos amplios de acceso a sitios web.
Este incidente subraya la evolución continua de las amenazas cibernéticas y la necesidad urgente de controles más rigurosos en el ecosistema de extensiones de navegador. Los usuarios deben reconocer que incluso los plugins aparentemente inofensivos pueden ocultar esquemas complejos de recolección de datos y explotación de recursos computacionales sin autorización explícita.
