Mastodon Mastodon Mastodon Mastodon

Extensión ModHeader: eliminación, mecanismo oculto y riesgos para desarrolladores

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Google y Microsoft han eliminado de sus tiendas de extensiones la popular herramienta para editar encabezados HTTP ModHeader (alrededor de 1,6 millones de instalaciones en Chrome y Edge) después de que investigadores descubrieran en su código un mecanismo oculto para recopilar el historial de navegación. Según los investigadores, este mecanismo estaba inactivo: la lista interna de permisos se distribuía vacía y no se han encontrado pruebas de transmisión real de datos. Sin embargo, toda la infraestructura necesaria para la exfiltración —cifrado, endpoint, planificador— ya estaba presente en la extensión firmada y verificada, lista para activarse mediante una actualización rutinaria sin solicitar permisos adicionales al usuario. Se recomienda a los usuarios eliminar inmediatamente la extensión y rotar cualquier secreto (claves de API, tokens, cookies) que se haya introducido a través de ella.

Qué se encontró en el código

El análisis fue realizado por la empresa británica Stripe OLT, que verificó el código de la extensión mediante la firma de Chrome Web Store y confirmó que el recolector oculto estaba presente en la versión auténtica de la extensión, y no en una falsificación. Análisis independientes de HackIndex (versión 7.0.18) y del investigador Yunus Aydin (versión 7.0.17) describen el mismo mecanismo.

La versión 7.0.18 (identificador de extensión idgpnmonknjnojddfkpgkljpfnnfcklj) realizaba la función declarada de editar encabezados. Sin embargo, en el mismo código de fondo minimizado se incluía un segundo sistema con la siguiente lógica:

  • En la primera ejecución se generaba una huella digital del dispositivo y se cargaba una clave de cifrado codificada de forma fija (hardcoded).
  • Al visitar páginas se extraía el dominio de cada página abierta, se cifraba y se almacenaba localmente —hasta 1000 dominios únicos.
  • Un planificador diario debía recopilar la lista cifrada junto con la huella digital del dispositivo, enviar una solicitud POST a api.stanfordstudies[.]com y borrar la copia local.
  • La hora de envío se desfasaba para cada instalación, de modo que las extensiones en distintas máquinas no contactaran con el servidor al mismo tiempo.

Elemento clave: el recolector solo se activaba si el navegador coincidía con una entrada en una lista interna de permisos, que se distribuía vacía. La comprobación fallaba siempre y la cadena de procesamiento se detenía antes de recopilar el primer dominio. Sin embargo, rellenar esa lista sería un cambio mínimo, distribuible mediante una actualización rutinaria sin nuevos permisos ni intervención del usuario.

Componentes activos

No todo estaba inactivo. Según los investigadores, al instalarse, actualizarse y eliminarse, la extensión enviaba una solicitud al dominio extensions-hub[.]com con información sobre el producto, la versión y el navegador. Además, un script que se ejecutaba en cada página ya registraba metadatos de peticiones reales en el almacenamiento local en texto claro: este componente sí estaba funcionando.

Por qué los escáneres automáticos no detectaron la amenaza

Según se indica, los análisis automáticos calificaban ModHeader como una extensión de bajo riesgo, algunos con hasta 95 puntos sobre 100. Cada elemento de la arquitectura estaba pensado para sortear un tipo concreto de comprobación: los datos están cifrados —el escáner solo ve texto cifrado; el envío está bloqueado —la sandbox no registra tráfico saliente; el código malicioso está minimizado dentro de una base de código legítima; los endpoints no tienen reputación maliciosa; una extensión popular firmada se percibe como confiable. La firma de la tienda confirma el origen del archivo, pero no su comportamiento.

Infraestructura y contexto

Stripe OLT vinculó los dominios con una infraestructura real en funcionamiento. El dominio stanfordstudies[.]com no guarda relación con la Universidad de Stanford: se trata de un dominio antiguo reutilizado, detrás del cual hay un backend sobre OpenSearch. El dominio extensions-hub[.]com está configurado con fines publicitarios. En el momento del análisis, ambos endpoints de API se resolvían en el mismo servidor de Amazon.

ModHeader ya había recibido quejas de usuarios en 2023 por inyectar publicidad en los resultados de búsqueda y, según se indica, adoptó un modelo con publicidad aproximadamente en el mismo periodo. No se ha confirmado quién asumió exactamente el control de la extensión. Al mismo tiempo, la propia página de ModHeader sigue afirmando que la extensión no recopila datos de usuario, algo difícil de conciliar con la presencia de un recolector de historial de navegación incorporado, aunque esté inactivo.

Este caso encaja en el patrón descrito por Brian Krebs ya en 2021: extensiones populares que se adquieren discretamente y se convierten en canales de recopilación de datos. La diferencia es que ahora el mecanismo incorpora cifrado y una pasarela que oculta el envío de datos a los escáneres.

Evaluación del impacto

Los más expuestos al riesgo son desarrolladores y especialistas en pruebas, el público principal de las herramientas para editar encabezados HTTP. Este tipo de usuarios trabaja con frecuencia con claves de API, tokens de autorización y cookies de sesión, que se introducen directamente en la extensión. Los investigadores descubrieron que la función de historial de encabezados de ModHeader almacenaba en disco los encabezados HTTP completos, lo que crea un riesgo de compromiso de secretos incluso sin activar el recolector principal de dominios.

Las extensiones para editar encabezados y gestionar cookies requieren por naturaleza amplios permisos para funcionar. Cuando se rompe la confianza, el radio de impacto resulta considerable.

Recomendaciones prácticas

Para usuarios

  • Elimine ModHeader de Chrome y Edge; es posible que el navegador ya lo haya deshabilitado automáticamente.
  • Asegúrese de que la sincronización de perfil o una política de extensiones gestionada no lo restaure.
  • Si ha introducido a través de ModHeader claves de API, bearer tokens o cookies de sesión, rótelelas de inmediato.

Para equipos de defensa

  • Bloquee y configure el registro para los dominios stanfordstudies[.]com y extensions-hub[.]com a nivel de DNS y proxy.
  • Busque en los registros el identificador de extensión idgpnmonknjnojddfkpgkljpfnnfcklj y cualquier solicitud POST a api.stanfordstudies[.]com/app/log.
  • Stripe OLT ha publicado consultas KQL listas para usar para Microsoft Defender y Sentinel para detectar esta actividad.

La retirada de la extensión de las tiendas resuelve el problema de esta herramienta concreta, pero no elimina el riesgo sistémico. Este caso demuestra una amenaza arquitectónica específica: un recolector de datos completamente operativo, verificado por la tienda, integrado en una herramienta popular de confianza y diseñado para activarse mediante una actualización ordinaria. Las organizaciones deberían revisar sus procedimientos de control de extensiones: comprobar la existencia de rutas de ejecución de código en estado latente, de nuevos endpoints para comunicarse con servidores externos y de capacidades que una actualización rutinaria pueda añadir tras un cambio de propietario de la extensión.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.