{"id":188,"date":"2026-03-09T11:53:15","date_gmt":"2026-03-09T11:53:15","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/09\/la-extension-de-chrome-se-vuelve-maliciosa-despues-de-la-transferencia-de-propiedad-lo-que-permite-la-inyeccion-de-codigo-y-el-robo-de-datos\/"},"modified":"2026-03-09T11:53:15","modified_gmt":"2026-03-09T11:53:15","slug":"la-extension-de-chrome-se-vuelve-maliciosa-despues-de-la-transferencia-de-propiedad-lo-que-permite-la-inyeccion-de-codigo-y-el-robo-de-datos","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/09\/la-extension-de-chrome-se-vuelve-maliciosa-despues-de-la-transferencia-de-propiedad-lo-que-permite-la-inyeccion-de-codigo-y-el-robo-de-datos\/","title":{"rendered":"La extensi\u00f3n de Chrome se vuelve maliciosa despu\u00e9s de la transferencia de propiedad, lo que permite la inyecci\u00f3n de c\u00f3digo y el robo de datos"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de <a href=\"https:\/\/x.com\/tuckner\/status\/2027416172442853830\" rel=\"noopener\" target=\"_blank\">transferencia de propiedad<\/a>ofreciendo a los atacantes una forma de enviar malware a clientes posteriores, inyectar c\u00f3digo arbitrario y recopilar datos confidenciales.<\/p>\n<p>Las extensiones en cuesti\u00f3n, ambas originalmente asociadas con un desarrollador llamado \u00abakshayanuonline@gmail.com\u00bb (BuildMelon), se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>QuickLens \u2013 Pantalla de b\u00fasqueda con Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) \u2013 7000 usuarios<\/li>\n<li>ShotBird: desplazamiento de capturas de pantalla, im\u00e1genes de tweets y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) \u2013 800 usuarios<\/li>\n<\/ul>\n<p>Si bien QuickLens ya no est\u00e1 disponible para descargar desde Chrome Web Store, ShotBird permanece accesible al momento de escribir este art\u00edculo. ShotBird fue <a href=\"https:\/\/www.reddit.com\/r\/chrome_extensions\/comments\/1gkv28r\/free_say_hello_to_shotbird_make_better\/\" rel=\"noopener\" target=\"_blank\">lanzado originalmente<\/a> en noviembre de 2024, con su desarrollador, Akshay Anu S (@AkshayAnuOnline), <a href=\"https:\/\/x.com\/AkshayAnuOnline\/status\/1854777234541642035\" rel=\"noopener\" target=\"_blank\">reclamando<\/a> en X que la extensi\u00f3n es adecuada para \u00abcrear im\u00e1genes profesionales tipo estudio\u00bb y que todo el procesamiento se realiza localmente.<\/p>\n<p>De acuerdo a <a href=\"https:\/\/monxresearch-sec.github.io\/shotbird-extension-malware-report\/\" rel=\"noopener\" target=\"_blank\">investigaci\u00f3n<\/a> Publicado por monxresearch-sec, el complemento del navegador recibi\u00f3 una marca de \u00abDestacado\u00bb en enero de 2025, antes de pasarlo a un desarrollador diferente (\u00abloraprice198865@gmail.com\u00bb) en alg\u00fan momento del mes pasado.<\/p>\n<p>De manera similar, QuickLens fue puesto a la venta en ExtensionHub el 11 de octubre de 2025 por \u00abakshayanuonline@gmail.com\u00bb apenas dos d\u00edas despu\u00e9s de su publicaci\u00f3n, John Tuckner de Anexo Security. <a href=\"https:\/\/annex.security\/blog\/pixel-perfect\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. El 1 de febrero de 2026, el propietario de la extensi\u00f3n cambi\u00f3 a \u00absupport@doodlebuggle.top\u00bb en la p\u00e1gina de listado de Chrome Web Store.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La actualizaci\u00f3n maliciosa introducida a QuickLens el 17 de febrero de 2026 mantuvo la funcionalidad original pero introdujo capacidades para eliminar encabezados de seguridad (por ejemplo, X-Frame-Options) de cada respuesta HTTP, lo que permite que scripts maliciosos inyectados en una p\u00e1gina web realicen solicitudes arbitrarias a otros dominios, omitiendo la Pol\u00edtica de seguridad de contenido (<a href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Guides\/CSP\" rel=\"noopener\" target=\"_blank\">CSP<\/a>) protecciones.<\/p>\n<p>Adem\u00e1s, la extensi\u00f3n conten\u00eda c\u00f3digo para tomar huellas digitales del pa\u00eds del usuario, detectar el navegador y el sistema operativo, y sondea un servidor externo cada cinco minutos para recibir JavaScript, que se almacena en el almacenamiento local del navegador y se ejecuta en cada carga de p\u00e1gina agregando un GIF oculto de 1\u00d71. <img\/> elemento y estableciendo la cadena JavaScript como su atributo \u00abonload\u00bb. Esto, a su vez, hace que el c\u00f3digo malicioso se ejecute una vez cargada la imagen.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgtbNVFQArInH_tIqk1dHv8QtD4RMtEkzUjgiEzaxf4z0lmK6RcYoKLyd9KlMLtR3pXGvE4vJEaO046ysdQwH7zP0-1R9WqRMYBEsTgTbDk6tINfKUZ4R9W7Klf38B5DvTduvDARTerx7w9IEZ8PCu0ytRoPVr9nu6Vxzngv2PrndHNlMz5f6C28dfZCaya\/s1700-e365\/short.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgtbNVFQArInH_tIqk1dHv8QtD4RMtEkzUjgiEzaxf4z0lmK6RcYoKLyd9KlMLtR3pXGvE4vJEaO046ysdQwH7zP0-1R9WqRMYBEsTgTbDk6tINfKUZ4R9W7Klf38B5DvTduvDARTerx7w9IEZ8PCu0ytRoPVr9nu6Vxzngv2PrndHNlMz5f6C28dfZCaya\/s1700-e365\/short.png\" alt=\"\" border=\"0\" data-original-height=\"717\" data-original-width=\"1453\"\/><\/a><\/div>\n<p>\u00abEl c\u00f3digo malicioso real nunca aparece en los archivos fuente de la extensi\u00f3n\u00bb, explic\u00f3 Tuckner. \u00abEl an\u00e1lisis est\u00e1tico muestra una funci\u00f3n que crea elementos de imagen. Eso es todo. Las cargas \u00fatiles se entregan desde el C2 y se almacenan en el almacenamiento local; s\u00f3lo existen en tiempo de ejecuci\u00f3n\u00bb.<\/p>\n<p>Un an\u00e1lisis similar de la extensi\u00f3n ShotBird realizado por monxresearch-sec ha descubierto el uso de devoluciones de llamada directas para entregar c\u00f3digo JavaScript en lugar de crear una imagen de 1\u00d71 p\u00edxeles para activar la ejecuci\u00f3n. El JavaScript est\u00e1 dise\u00f1ado para mostrar un mensaje falso de actualizaci\u00f3n del navegador Google Chrome, haciendo clic en qu\u00e9 usuarios reciben una p\u00e1gina estilo ClickFix para abrir el cuadro de di\u00e1logo Ejecutar de Windows, iniciar \u00abcmd.exe\u00bb y pegar un comando de PowerShell, lo que resulta en la descarga de un ejecutable llamado \u00abgoogleupdate.exe\u00bb en los hosts de Windows.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEghw5aOSEwX7E3oTaco23HX_tRAaOQWXAv5il2MoG38psjlOR7Nct0E4393oLqMRE9snrm60Cl1laVyqL9MTgnH3R1sBPaq1CQuLW4yPoOALBlZ2NVLFZC3UF9HNUsuylPVxzf2QBeM00bRKoHSaNs0zVXbhibhq68M3zfgaGamUcTuIuQv66gfyVEA7i8z\/s1700-e365\/supply.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEghw5aOSEwX7E3oTaco23HX_tRAaOQWXAv5il2MoG38psjlOR7Nct0E4393oLqMRE9snrm60Cl1laVyqL9MTgnH3R1sBPaq1CQuLW4yPoOALBlZ2NVLFZC3UF9HNUsuylPVxzf2QBeM00bRKoHSaNs0zVXbhibhq68M3zfgaGamUcTuIuQv66gfyVEA7i8z\/s1700-e365\/supply.png\" alt=\"\" border=\"0\" data-original-height=\"1952\" data-original-width=\"2202\"\/><\/a><\/div>\n<p>Luego, el malware procede a enlazar la entrada, el \u00e1rea de texto, seleccionar elementos HTML y capturar cualquier dato ingresado por la v\u00edctima. Esto podr\u00eda incluir credenciales, PIN, detalles de tarjetas, tokens e identificadores gubernamentales. Tambi\u00e9n est\u00e1 equipado para desviar datos almacenados en el navegador web Chrome, como contrase\u00f1as, historial de navegaci\u00f3n e informaci\u00f3n relacionada con extensiones.<\/p>\n<p>\u00abEsta es una cadena de abuso de dos etapas: control remoto del navegador del lado de la extensi\u00f3n m\u00e1s pivote de ejecuci\u00f3n a nivel de host a trav\u00e9s de actualizaciones falsas\u00bb, dijo el investigador. \u00abEl resultado es una exposici\u00f3n de datos de alto riesgo en el navegador y una ejecuci\u00f3n confirmada de secuencias de comandos del lado del host en al menos un sistema afectado. En t\u00e9rminos pr\u00e1cticos, esto eleva el impacto del abuso exclusivo del navegador a un posible robo de credenciales y un compromiso m\u00e1s amplio de los terminales\u00bb.<\/p>\n<p>Se eval\u00faa que el mismo actor de amenazas est\u00e1 detr\u00e1s del compromiso de las dos extensiones y est\u00e1 operando dichos complementos en paralelo, dado el uso de un patr\u00f3n de arquitectura de comando y control (C2) id\u00e9ntico, los se\u00f1uelos ClickFix inyectados en el contexto de navegaci\u00f3n y la transferencia de propiedad como vector de infecci\u00f3n.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiPooBnA_BkLKvWR7VnMPD1tAnk4ionaZ-EEKjpOlhyphenhyphenU9htgxvrnhocDSplm6DYEjgCRD6ouBSDJr_0kn61JnHfrCBaZRD3-fwDqcHgLwpaXsJdTAdAhJhjjrYXVRGrwdib54XE-G_H-kVVzY5QNE1vRrRXNFXo1kU5zGJh7ml7AVYfPWBsAlH-x06nk5dc\/s1700-e365\/chrome-malware.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiPooBnA_BkLKvWR7VnMPD1tAnk4ionaZ-EEKjpOlhyphenhyphenU9htgxvrnhocDSplm6DYEjgCRD6ouBSDJr_0kn61JnHfrCBaZRD3-fwDqcHgLwpaXsJdTAdAhJhjjrYXVRGrwdib54XE-G_H-kVVzY5QNE1vRrRXNFXo1kU5zGJh7ml7AVYfPWBsAlH-x06nk5dc\/s1700-e365\/chrome-malware.png\" alt=\"\" border=\"0\" data-original-height=\"1536\" data-original-width=\"2716\"\/><\/a><\/div>\n<p>Curiosamente, el desarrollador de la extensi\u00f3n original ha <a href=\"https:\/\/chromewebstore.google.com\/detail\/radial-new-tab\/fogdlfdfpjlpmpmnmeepffaikefkacnc\" rel=\"noopener\" target=\"_blank\">publicado<\/a> <a href=\"https:\/\/chromewebstore.google.com\/detail\/reditop-%E2%80%93-scroll-to-top-f\/gddonialdhbldcdbnbloangmjnpcnhhd\" rel=\"noopener\" target=\"_blank\">varios<\/a> <a href=\"https:\/\/chromewebstore.google.com\/detail\/audiomatch-youtube-audio\/mejaghdgnidejbeofmfhnogbniipdjge\" rel=\"noopener\" target=\"_blank\">otro<\/a> <a href=\"https:\/\/chromewebstore.google.com\/detail\/sidewiki-%E2%80%93-sidebar-for-wi\/ofifhmaojnmphodmgkipjpjedgnhkbhl\" rel=\"noopener\" target=\"_blank\">extensiones<\/a> bajo su nombre en Chrome Web Store y todos ellos han recibido una insignia de Destacados. El desarrollador tambi\u00e9n tiene un <a href=\"https:\/\/www.extensionhub.io\/akshayanu\" rel=\"noopener\" target=\"_blank\">cuenta en ExtensionHub<\/a>aunque actualmente no hay extensiones a la venta. Es m\u00e1s, el individuo tiene <a href=\"https:\/\/www.reddit.com\/r\/DomainsForSale\/comments\/1r710f3\/aiinfrastackcom_domain_for_sale_2500\/\" rel=\"noopener\" target=\"_blank\">atentado<\/a> para vender dominios como \u00abAIInfraStack[.]com\u00bb por $2500, indicando que el \u00abdominio de palabras clave fuertes\u00bb es \u00abrelevante para [sic] Ecosistema de IA en r\u00e1pido crecimiento\u00bb.<\/p>\n<p>\u00abEste es, en pocas palabras, el problema de la extensi\u00f3n de la cadena de suministro\u00bb, dijo Anexo Security. \u00abUna extensi\u00f3n funcional &#8216;destacada&#8217;, revisada, cambia de manos y el nuevo propietario env\u00eda una actualizaci\u00f3n armada a cada usuario existente\u00bb.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Microsoft advirti\u00f3 sobre las extensiones maliciosas del navegador basadas en Chromium que se hacen pasar por herramientas leg\u00edtimas de asistencia de inteligencia artificial para recopilar historiales de chat de LLM y datos de navegaci\u00f3n.<\/p>\n<p>\u00abA escala, esta actividad convierte una extensi\u00f3n de productividad aparentemente confiable en un mecanismo de recopilaci\u00f3n de datos persistente integrado en el uso cotidiano del navegador empresarial, lo que destaca el creciente riesgo que representan las extensiones del navegador en entornos corporativos\u00bb, dijo el equipo de investigaci\u00f3n de seguridad de Microsoft Defender. <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/03\/05\/malicious-ai-assistant-extensions-harvest-llm-chat-histories\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>En las \u00faltimas semanas, los cazadores de amenazas tambi\u00e9n han detectado una extensi\u00f3n maliciosa de Chrome llamada lm\u03a4oken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi) que se hace pasar por imToken mientras se anuncia como un visualizador de colores hexadecimales en Chrome Web Store para robar frases iniciales de criptomonedas mediante redirecciones de phishing.<\/p>\n<p>\u00abEn lugar de proporcionar la herramienta inofensiva que promete, la extensi\u00f3n abre autom\u00e1ticamente un sitio de phishing controlado por un actor de amenazas tan pronto como se instala, y nuevamente cada vez que el usuario hace clic en \u00e9l\u00bb, dijo el investigador de Socket Kirill Boychenko. <a href=\"https:\/\/socket.dev\/blog\/fake-imtoken-chrome-extension-steals-seed-phrases-via-phishing-redirects\" rel=\"noopener\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>\u00abDurante la instalaci\u00f3n, la extensi\u00f3n obtiene una URL de destino desde un punto final JSONKeeper codificado (jsonkeeper[.]com\/b\/KUWNE) y abre una pesta\u00f1a que apunta a un dominio similar al estilo Chrome Web Store, chromewedbstorre-detail-extension[.]com. La p\u00e1gina de inicio se hace pasar por imToken utilizando homoglifos de escritura mixta y canaliza a las v\u00edctimas hacia flujos de captura de credenciales que solicitan una frase inicial de 12 o 24 palabras o una clave privada\u00bb.<\/p>\n<p>Otras extensiones maliciosas <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2026-02-20-%20AI-Accelerated%20Malicious%20Chrome%20Extension%20Campaigns.txt\" rel=\"noopener\" target=\"_blank\">marcado<\/a> por Palo Alto Networks Se ha descubierto que la Unidad 42 de Networks participa en secuestro de afiliados y exfiltraci\u00f3n de datos, uno de ellos: Chrome MCP Server \u2013 AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) \u2013 <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2026-02-11-IOCs-for-RAT-disguinsed-as-AI-based-browser-extension.txt\" rel=\"noopener\" target=\"_blank\">servicio<\/a> como un troyano de acceso remoto completo mientras se hace pasar por una herramienta de automatizaci\u00f3n de inteligencia artificial que utiliza el protocolo de contexto modelo (MCP).<\/p>\n<p>Los investigadores de Unit 42 tambi\u00e9n han revelado que tres extensiones populares de Chrome, a saber, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, que fueron identificadas por Koi como extractoras de conversaciones de IA de varios chatbots como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity, han regresado a Chrome Web Store.<\/p>\n<p>\u00abTras la divulgaci\u00f3n p\u00fablica de la campa\u00f1a el 15 de diciembre de 2025, el desarrollador actualiz\u00f3 las versiones benignas en enero de 2026, probablemente en respuesta al informe\u00bb, afirman los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov. <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2026-02-13-IOCs-for-tactics-by-browser-extensions-to-avoid-bans.txt\" rel=\"noopener\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Adem\u00e1s, la empresa de ciberseguridad identific\u00f3 una extensi\u00f3n denominada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), que cuenta con m\u00e1s de 100.000 usuarios y cuya versi\u00f3n anterior se comunicaba con conocidos indicadores de red asociados a una campa\u00f1a denominada RedDirection para realizar secuestro de navegador.<\/p>\n<p>Eso no es todo. Una nueva campa\u00f1a <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2026-03-09-Threat-Alert-30K-domains-distributing-malicious-AI-related-browser-extension.txt\" rel=\"noopener\" target=\"_blank\">que comprende<\/a> Se ha descubierto que m\u00e1s de 30.000 dominios inician una cadena de redireccionamiento para dirigir el tr\u00e1fico a una p\u00e1gina de destino (\u00abalgoritmo ansible[.]com\u00bb) que se utiliza para distribuir una extensi\u00f3n de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).<\/p>\n<p>La extensi\u00f3n utiliza la API chrome_settings_overrides para modificar la configuraci\u00f3n de Chrome y configurar la p\u00e1gina de inicio del navegador en omnibar.[.]ai, adem\u00e1s de convertir el proveedor de b\u00fasqueda predeterminado en una URL personalizada: \u00abgo.omnibar[.]ai\/?api=omni&amp;sub1=omnibar.ai&amp;q={searchTerms}\u200b\u00bb y realizar un seguimiento de las consultas a trav\u00e9s de un par\u00e1metro API.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fs-report-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWQgUDT06NQu9vGMPC7BWROmJABTIWg058l7oGKD-v3ZchC8_66xjbclOE9koChsRf5CEKgqrXTVrne_00PdGokh3brhvF-g33I4FYYpTukrvuNQWXZOVAfon6-2axyRoVJ4uOrXPqRhxfZUaJWEm-K9esUS3ql8VSVWAKLqyfhHLgMSXhkMTkcOtGSX7R\/s728-e100\/fs-report-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se cree que el objetivo final es realizar un secuestro de navegador como parte de lo que parece ser un plan de marketing de afiliaci\u00f3n a gran escala, dijo Unit 42, a\u00f1adiendo que identific\u00f3 otras dos extensiones que exhiben el mismo comportamiento de secuestro de navegador consistente con OmniBar a trav\u00e9s de la anulaci\u00f3n de la p\u00e1gina de inicio y la interceptaci\u00f3n de b\u00fasqueda.<\/p>\n<ul>\n<li>Herramienta de algoritmo de salida de IA (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)<\/li>\n<li>Extensi\u00f3n oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)<\/li>\n<\/ul>\n<p>Una investigaci\u00f3n m\u00e1s profunda de tres extensiones m\u00e1s publicadas por el mismo desarrollador (\u00abjon@status77.com\u00bb y Status 77) ha descubierto que dos de ellas rastrean la actividad de navegaci\u00f3n del usuario para inyectar marcadores de afiliados, mientras que una tercera extrae y transmite hilos de comentarios de Reddit del usuario a un punto final API controlado por el desarrollador.<\/p>\n<ul>\n<li>Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)<\/li>\n<li>Extensi\u00f3n oficial de cupones gigantes (ID: akdajpomgjgldidenledjjiemgkjcchc)<\/li>\n<li>Consenso: resumen de comentarios de Reddit (ID: mkkfklcadlnkhgapjeejemflhamcdjld)<\/li>\n<\/ul>\n<p>Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen de sus navegadores con efecto inmediato, eviten la carga lateral o la instalaci\u00f3n de extensiones de productividad no verificadas y auditen los navegadores en busca de extensiones desconocidas y las desinstalen.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de transferencia de propiedadofreciendo a los atacantes una forma de enviar malware a clientes posteriores, inyectar c\u00f3digo arbitrario y recopilar datos confidenciales. Las extensiones en cuesti\u00f3n, ambas originalmente asociadas con un desarrollador llamado \u00abakshayanuonline@gmail.com\u00bb (BuildMelon), se enumeran a continuaci\u00f3n: [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[17,376,627,261,621,626,623,265,625,47,624,622],"class_list":["post-188","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-chrome","tag-codigo","tag-datos","tag-despues","tag-extension","tag-inyeccion","tag-maliciosa","tag-permite","tag-propiedad","tag-robo","tag-transferencia","tag-vuelve"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=188"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/188\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}