2 min de lectura

ModHeader retirado tras hallarse spyware en 1,6 millones de instalaciones

Google y Microsoft eliminaron ModHeader tras el hallazgo de un SDK de spyware oculto en la versión v7.0.18. Las instalaciones existentes en Chrome y Edge podrían seguir en riesgo.

Imagen: TechRadar

Una extensión de navegador muy usada, con 1,6 millones de instalaciones, ha sido retirada tanto de la Chrome Web Store como de Microsoft Edge Add-ons después de que investigadores indicaran que incluía código spyware.

Según Stripe OLT, ModHeader v7.0.18 contenía un SDK de spyware oculto que podía recopilar los dominios que visitan los usuarios, cifrar esos datos con AES-GCP y enviarlos una vez al día a un servidor de propiedad china. Los investigadores dijeron que el recolector estaba inactivo por defecto, pero que el código, la clave de cifrado y el calendario de subida ya estaban integrados en la extensión.

ModHeader es una extensión para Chrome y Edge que se usa para modificar las cabeceras de las solicitudes y respuestas HTTP. La utilizan habitualmente desarrolladores e investigadores de seguridad para probar APIs, solucionar problemas de aplicaciones y simular distintos entornos. Antes de ser retirada, la extensión tenía unos 900.000 usuarios en Chrome y 700.000 en Edge.

Stripe OLT afirmó que la extensión también se comportaba como adware, mostrando anuncios y abriendo pestañas publicitarias durante las actualizaciones, incluso en dispositivos gestionados por empresas. Los investigadores no encontraron capacidad de mando y control, lo que significa que el servidor remoto podía recibir datos robados pero no enviar comandos de vuelta.

Recomendado

Los gusanos de IA ya pueden adaptarse a mitad de ataque

Fechas de retirada y atribución

The Hacker News informó que Microsoft retiró ModHeader el 3 de junio de 2026 y Google siguió el 10 de julio. Stripe OLT relacionó la actividad, con baja confianza, con un actor de amenazas de habla china. El informe citó cadenas en chino en el código, una configuración regional en chino simplificado y el enrutamiento de correos electrónicos a través de Lark, una suite que, según los investigadores, es común entre equipos de habla china.

«Tras nuestra divulgación, Google ha eliminado la extensión de la Chrome Web Store. Agradecemos esta acción, pero la retirada de la tienda no remedia automáticamente los equipos donde la extensión ya estaba instalada, por lo que los defensores deben continuar identificando y eliminando las instalaciones existentes.»

Stripe OLT

Esa advertencia importa: retirar una extensión de una tienda no la elimina automáticamente de los dispositivos donde ya está instalada.

Encabezado de los mejores antivirus
Encabezado de los mejores antivirus
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía TechRadar

// Sigue leyendo