Investigadores han descubierto una importante amenaza de seguridad dirigida a usuarios de ChatGPT a través de extensiones engañosas para navegadores. Se ha detectado una campaña coordinada que involucra 16 extensiones maliciosas de Chrome, todas diseñadas para parecer herramientas de productividad legítimas y aplicaciones de mejora para ChatGPT. Estas extensiones con malware están robando activamente tokens de autenticación de sesión de ChatGPT, lo que otorga a los atacantes acceso completo a las cuentas de las víctimas

Investigadores han descubierto una importante amenaza de seguridad dirigida a usuarios de ChatGPT a través de extensiones de navegador engañosas.

Se ha detectado una campaña coordinada que involucra 16 extensiones maliciosas de Chrome, todas diseñadas para parecer herramientas de productividad legítimas y aplicaciones de mejora para ChatGPT.

Estas extensiones con malware están robando activamente tokens de autenticación de sesión de ChatGPT, lo que otorga a los atacantes acceso completo a las cuentas y conversaciones de las víctimas.

La campaña aprovecha la creciente popularidad de las extensiones de navegador impulsadas por IA. A medida que más usuarios instalan estas herramientas para mejorar su productividad con ChatGPT y plataformas similares, los actores de amenazas han identificado una oportunidad para explotar esta tendencia.

Las extensiones utilizan nombres y marcas convincentes que imitan aplicaciones de productividad confiables, lo que dificulta que los usuarios comunes distingan entre software legítimo y malicioso.

Al hacerse pasar por herramientas oficiales de mejora para ChatGPT, estas extensiones logran engañar a los usuarios para que las instalen a través de la tienda oficial de Chrome Web Store.

Analistas de LayerX Research identificaron esta campaña coordinada mediante métodos avanzados de detección y análisis de código.

Los investigadores descubrieron que las 16 extensiones comparten un código malicioso casi idéntico, lo que sugiere que provienen del mismo actor de amenazas que opera una operación de robo a gran escala.

Este descubrimiento destaca cómo los actores de amenazas organizados se están volviendo más sofisticados al atacar específicamente a usuarios de plataformas de IA.

Interceptación de Tokens de Sesión y Acceso a Cuentas

El mecanismo de infección detrás de estas extensiones opera a través de un enfoque técnico inteligente llamado interceptación de tokens de sesión.

Cuando un usuario instala una de estas extensiones maliciosas, esta inyecta inmediatamente código malicioso en las páginas donde se accede a ChatGPT.

La extensión luego se engancha a las funciones principales del navegador, específicamente al objetivo de la función window.fetch que maneja las solicitudes web. Esto permite que el malware monitoree todo el tráfico saliente del sitio oficial de ChatGPT.

Cuando la extensión detecta solicitudes que contienen encabezados de autorización —las claves digitales que prueban la identidad de un usuario ante los servidores de ChatGPT—, extrae silenciosamente estos tokens de sesión.

Estos tokens son luego transmitidos a servidores controlados por los atacantes. Con la posesión de tokens de sesión válidos, los criminales pueden suplantar completamente a los usuarios, accediendo a todas las conversaciones de ChatGPT, datos almacenados y servicios conectados como Google Drive, Slack y GitHub.

Los tokens esencialmente otorgan acceso a nivel de cuenta equivalente al que poseen los usuarios legítimos, evitando la necesidad de descifrar contraseñas o explotar vulnerabilidades de software. Este enfoque sigiloso significa que las herramientas de seguridad tradicionales a menudo no detectan el robo.

Las extensiones maliciosas también recopilan datos adicionales más allá de los tokens de autenticación, incluyendo metadatos de la extensión y telemetría de uso.

Esta información permite a los atacantes mantener acceso persistente y de larga duración a las cuentas comprometidas e identificar patrones en el comportamiento de los usuarios.

La campaña ha resultado en aproximadamente 900 instalaciones en todas sus variantes, aunque los investigadores enfatizan que este número podría aumentar rápidamente a medida que las extensiones enfocadas en IA ganan adopción masiva.

Las organizaciones y usuarios deben tratar las extensiones de navegador integradas con IA como software de alto riesgo que requiere una evaluación cuidadosa antes de su implementación.

Los equipos de seguridad deben implementar tecnologías de monitoreo de extensiones y establecer políticas que restrinjan herramientas de IA de terceros que requieran una integración profunda con el navegador.