- Stripe OLT descubrió que ModHeader v7.0.18 lleva un SDK de software espía oculto, que redirige los dominios visitados diariamente a un servidor de propiedad china y actúa como adware.
- La extensión tuvo 1,6 millones de descargas en Chrome y Edge antes de ser retirada, pero los puntos finales instalados siguen siendo vulnerables.
- Los investigadores instan a los defensores a identificar y eliminar las instalaciones existentes, ya que la eliminación de la tienda no soluciona automáticamente los dispositivos comprometidos.
Se descubrió que ModHeader, una extensión confiable de los navegadores Chrome y Edge con más de 1,6 millones de descargas, era maliciosa y aparentemente enviaba datos confidenciales a un servidor de propiedad china, y desde entonces ha sido retirada de ambos repositorios.
Los investigadores de seguridad Stripe OLT dieron la noticia en un nuevo informe, que describe cómo una versión ModHeader v7.0.18 lleva un SDK de software espía oculto.
Según Stripe OLT, el software espía recopila los dominios que visitan los usuarios, cifra los datos mediante AES-GCP y luego los envía, una vez al día, a un servidor remoto. Se encuentra que el recopilador está deshabilitado de forma predeterminada, pero el código requerido, la clave de cifrado y el programa de carga ya están integrados en la extensión.
Enlaces a actores chinos
Los investigadores no encontraron ninguna funcionalidad de comando y control, lo que significa que el servidor solo recibe los datos robados y no puede comunicarse. La extensión también actúa como adware, mostrando anuncios y abriendo pestañas de anuncios en actualizaciones, incluidos los dispositivos administrados por la empresa.
Los investigadores atribuyeron el ataque, aunque con menos confianza, a un actor de amenazas de habla china. El dominio de exfiltración enruta los correos electrónicos a través de Lark, una suite común entre los grupos de habla china, dijo. También encontraron cadenas chinas en el código y dijeron que la lista se transmite a una configuración regional china simplificada.
ModHeader es una extensión de navegador Chrome y Edge que permite a los usuarios modificar los encabezados de solicitud y respuesta HTTP enviados entre sus navegadores y sitios web. Los desarrolladores e investigadores de seguridad lo utilizan para probar API, solucionar problemas de aplicaciones y simular diferentes entornos. Tiene unos 900.000 usuarios en Chrome y otros 700.000 en Edge.
De acuerdo a Noticias de piratas informáticosMicrosoft retiró la herramienta de su repositorio el 3 de junio de 2026, seguido por Google una semana después, el 10 de julio.
“Tras nuestra publicación, Google eliminó la extensión de Chrome Web Store”, concluyó Stripe OLT. “Damos la bienvenida a esta medida, pero la eliminación de la tienda no soluciona automáticamente los puntos finales donde la extensión ya estaba instalada, por lo que los defensores deben continuar detectando y eliminando las instalaciones existentes”.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.