El mayor problema de estas extensiones es que muchas lucen exactamente como herramientas legítimas. La empresa de ciberseguridad Socket indicó que las extensiones están publicadas bajo cinco identidades de editor distintas: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. Las 108 extensiones identificadas están disponibles como complementos para Telegram, TikTok o YouTube, así como herramientas de traducción de textos o juegos de tragaperras.
Qué hacen exactamente estas extensiones
El daño que pueden hacer va desde el robo de sesiones hasta la inyección de publicidad fraudulenta. Hay 54 extensiones que roban datos de las cuentas de Google a través de OAuth2; una extensión que extrae sesiones de Telegram Web cada 15 segundos; otra extensión que incluye infraestructura para el robo de sesiones de Telegram; dos extensiones que eliminan las barreras de seguridad de YouTube e insertan anuncios; una extensión que elimina la seguridad de TikTok para insertar anuncios; dos extensiones que inyectan scripts de contenido en cada página visitada; y 45 extensiones que abren URL arbitrarias al iniciar el navegador.
La extensión más peligrosa de la lista
Una extensión, destacada por Socket como "la más peligrosa", roba sesiones de Telegram Web cada 15 segundos, extrae los datos de sesión del almacenamiento local y el token de sesión, y envía la información al servidor de los atacantes. Esto permite al atacante tomar control de la cuenta sin necesidad de credenciales ni autenticación de dos factores.
El ataque llega incluso más lejos: la extensión también puede cambiar el navegador de cualquier víctima a una cuenta de Telegram diferente sin que esta lo sepa, borrando el almacenamiento local y sobrescribiéndolo con datos de sesión del atacante.
El origen probable: Rusia
Los investigadores encontraron pistas sobre quiénes están detrás de la campaña. Un análisis del código fuente reveló comentarios en idioma ruso en varios de estos complementos, lo que lleva a Socket a identificar indicios de una operación rusa de malware como servicio. Todas las extensiones comparten el mismo servidor backend, lo que confirma que se trata de una campaña coordinada y no de actores aislados.
Cómo detectar si tenés una extensión comprometida
Hay señales de alerta que pueden aparecer antes de que el daño sea mayor. La presencia de anuncios emergentes que antes no aparecían, redireccionamientos inesperados a sitios desconocidos o un comportamiento extraño del navegador son indicios de que algo puede estar mal. En algunos casos, las extensiones son vendidas a otros desarrolladores que aprovechan su base de usuarios para, con una simple actualización, introducir código malicioso de un día para otro.
Qué hacer ahora
Si instalaste alguna extensión relacionada con Telegram, TikTok, YouTube, traducción o juegos de tragamonedas en Chrome, revisá la lista completa publicada por Socket en su blog oficial. Las medidas concretas a tomar son: eliminar las extensiones sospechosas de inmediato, cerrar todas las sesiones de Telegram Web desde la app móvil, cambiar la contraseña de la cuenta de Google y activar la verificación en dos pasos si todavía no la tenés activada.
En general, la regla de oro es instalar solo las extensiones estrictamente necesarias, revisar periódicamente los permisos que tienen habilitados y desconfiar de cualquier complemento que pida acceso a "todos los datos en todos los sitios web" si su función básica no lo requiere.
Cerrar sesión