Alerta en Chrome: una extensión con más de 10 millones de usuarios podría ejecutar código oculto

bys0rK -
Extensión Adblock para YouTube en Google Chrome bajo investigación por inyección remota de código
La extensión continúa disponible en Chrome Web Store mientras los investigadores analizan el riesgo de su arquitectura remota.

Una función oculta pone bajo sospecha a una de las extensiones más instaladas de Chrome

Investigadores de seguridad han descubierto que Adblock para YouTube incorpora una infraestructura capaz de ejecutar código JavaScript de forma remota. No existen evidencias de abuso, pero la función podría activarse sin actualizar la extensión.

📌 En resumen

  • La extensión supera los 10 millones de instalaciones en Chrome.
  • Incluye una función preparada para inyectar código JavaScript de forma remota.
  • Los investigadores no han detectado actividad maliciosa hasta ahora.
  • La capacidad podría habilitarse desde el servidor del desarrollador.

Investigadores de ciberseguridad han descubierto que la extensión Adblock para YouTube incorpora una función capaz de ejecutar código JavaScript remoto en las páginas que visita el usuario. Aunque actualmente permanece desactivada y no existen pruebas de que se haya utilizado con fines maliciosos, los expertos advierten de que podría activarse sin necesidad de publicar una nueva versión ni superar otra revisión de Google.

El hallazgo afecta a una de las extensiones más populares de Chrome, con más de 10 millones de instalaciones y el distintivo de "Destacada" otorgado por Chrome Web Store.

Una capacidad oculta que permanece integrada

La investigación, realizada por los especialistas Oleg Zaytsev y Shachar Gritzman, de la firma Island, revela que la extensión incorpora una arquitectura diseñada para crear e insertar código JavaScript dinámicamente.

Según el informe, esa funcionalidad permanece deshabilitada en la configuración actual del servidor, pero puede activarse de forma remota sin modificar la extensión instalada en el navegador del usuario.

En un escenario de abuso, esta capacidad permitiría:

  • Leer el contenido de páginas web.
  • Acceder a información confidencial.
  • Robar datos de sesiones activas.
  • Actuar en nombre del usuario dentro de servicios web.
  • Interactuar con paneles de administración y aplicaciones corporativas.

Los investigadores insisten en que no han encontrado evidencias de que esta función haya distribuido cargas maliciosas hasta el momento. El riesgo reside en que la infraestructura ya está integrada en la extensión.

Por qué preocupa especialmente un bloqueador de anuncios

Las extensiones dedicadas al bloqueo de publicidad requieren permisos especialmente amplios para cumplir su función.

Normalmente necesitan inspeccionar el tráfico del navegador, modificar el contenido de las páginas y ocultar elementos antes de que sean mostrados al usuario. Ese nivel de acceso convierte cualquier capacidad adicional de ejecución remota en un riesgo potencialmente elevado.

En este caso, el informe también cuestiona la forma en la que la extensión limita su funcionamiento a YouTube.

La comprobación del dominio puede eludirse

Según Island, la extensión no verifica realmente que el usuario esté navegando por YouTube.

En lugar de comprobar el dominio, únicamente busca la cadena "youtube.com" en cualquier parte de la URL. Esto significa que podría activarse también en direcciones como:

  • www.facebook.com/pagina?ref=youtube.com
  • bank.example.com/search?q=youtube.com
  • internal.corp.com/redirect?from=youtube.com

Para los investigadores, este método resulta sencillo de eludir y amplía el número de escenarios en los que la función remota podría ejecutarse.

Un historial que aumenta las dudas

Adblock para YouTube se encuentra disponible en Chrome Web Store desde 2014, aunque cambió de propietario en 2018.

El informe recuerda que versiones anteriores incorporaban Unistream SDK, un componente utilizado para la inserción de publicidad que fue eliminado en junio de 2024.

Sin embargo, desde febrero de 2025 permanece integrada la infraestructura que permite crear elementos <script> de forma remota, aunque actualmente continúe desactivada.

Otras extensiones relacionadas ya fueron retiradas

Los investigadores también señalan que varias extensiones pertenecientes al mismo ecosistema fueron eliminadas anteriormente de Chrome Web Store tras detectarse comportamientos maliciosos.

  • Ad Block para Chrome.
  • Ad Block for You.
  • AdBlock Suite.

La combinación de un cambio de propietario, antecedentes relacionados con publicidad, funciones de inyección remota y extensiones vinculadas retiradas por malware constituye el principal motivo de preocupación para los expertos.

Otra campaña también afecta a las extensiones de Chrome

El informe coincide con otra investigación publicada por Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks.

En ese caso se identificaron 18 extensiones que suplantaban marcas conocidas para generar ingresos mediante marketing de afiliación. Tras instalarse, abrían automáticamente dominios con extensión .shop y redirigían a los usuarios hacia páginas falsas que simulaban problemas de compatibilidad para convencerles de instalar un supuesto navegador orientado a videojuegos.

Por ahora, los desarrolladores de Adblock para YouTube no han respondido públicamente al informe y la extensión continúa disponible en Chrome Web Store con más de 10 millones de instalaciones. Aunque no se ha observado un uso malicioso de la función detectada, el caso vuelve a poner de manifiesto los riesgos que implica conceder permisos elevados a extensiones de navegador ampliamente utilizadas.

Tags:

Te puede interesar

Ver todo

Sé respetuoso con los demás usuarios y no utilices lenguaje ofensivo o discriminatorio.

Artículo Anterior Artículo Siguiente
Compartir en otras aplicaciones
Copiar Enlace de la entrada