Una campaña coordinada denominada SearchJack ha utilizado 23 extensiones engañosas del navegador Chrome para robar las consultas de búsqueda de aproximadamente 758,000 usuarios en todo el mundo. Estas extensiones se hacían pasar por herramientas útiles para redirigir el tráfico a través de sistemas de ingresos ocultos sin que los usuarios lo percibieran.

Dos extensiones de navegador llamadas "Smart Adblocker" y "Adblock for Browser" han sido detectadas robando conversaciones privadas de plataformas de IA como ChatGPT, Claude y Gemini. Aproximadamente 90,000 usuarios instalaron estas herramientas, que ofrecían una funcionalidad real de bloqueo de anuncios mientras registraban secretamente los chats más sensibles de los usuarios.

Se han identificado vulnerabilidades de severidad alta en la extensión de Visual Studio Code Angular Language Service (Angular.ng-template). Estos fallos podrían permitir ataques de ejecución remota de código (RCE) debido al manejo inseguro de entradas controladas por el usuario y la carga de configuraciones no seguras, exponiendo así a los desarrolladores a posibles riesgos de seguridad.

GitHub confirmó que el grupo TeamPCP vulneró sus repositorios internos mediante una extensión maliciosa de VS Code, afectando la exfiltración de unos 3,800 repositorios. El ataque fue parte de una cadena de suministros que impactó a otras empresas como OpenAI y Mistral AI. Aunque no hay evidencia de daños en cuentas de clientes, el incidente resalta la vulnerabilidad de las actualizaciones automáticas de herramientas de desarrollo.

Investigadores han descubierto una vulnerabilidad catastrófica en la extensión "Claude in Chrome". Mediante el uso de extensiones maliciosas que parecen inofensivas, atacantes invisibles pueden secuestrar el asistente de IA para robar silenciosamente mensajes privados de Gmail, documentos restringidos de Google Drive y repositorios secretos de GitHub.

Un ataque a la cadena de suministro denominado GlassWorm, dirigido al mercado Open VSX, se ha intensificado con el descubrimiento de 73 nuevas extensiones "durmientes". Identificado en abril de 2026, este grupo representa un peligroso cambio en la forma en que los actores de amenazas distribuyen malware a desarrolladores de software. Esta actividad sigue a una gran oleada descubierta en marzo de 2026, donde los investigadores documentaron 72 extensiones maliciosas en Open VSX.

Se ha descubierto una vulnerabilidad de alta gravedad (CVSS 8.2) en Cursor, un entorno de codificación con IA ampliamente utilizado. La falla, detectada por LayerX, permitía que cualquier extensión instalada accediera de forma oculta a las claves API y tokens de sesión de los desarrolladores. Esto provocaba un compromiso total de credenciales sin activar alertas ni requerir interacción del usuario. A diferencia de las aplicaciones seguras, que almacenan secretos sensibles de manera protegida, esta vulnerabilidad exponía información crítica sin mecanismos de seguridad adecuados.

Una masiva campaña de malware conocida como “StealTok” involucra al menos 12 extensiones de navegador relacionadas entre sí. Estas extensiones se hacen pasar por descargadores de videos de TikTok, pero en secreto rastrean la actividad de los usuarios y recopilan datos sensibles. La campaña, descubierta por la empresa de seguridad LayerX, ha afectado a más de 130.000 usuarios en todo el mundo, con aproximadamente 12.500 instalaciones aún activas en Google Chrome y Microsoft Edge

Más de 100 extensiones maliciosas en la Chrome Web Store roban tokens OAuth2, sesiones de Telegram y datos de usuarios mediante una campaña coordinada con infraestructura C2, incluyendo puertas traseras y fraude publicitario. Investigadores de Socket detectaron que las extensiones, bajo 5 identidades falsas, inyectan código malicioso, secuestran cuentas de Google y Telegram (sin MFA) y siguen activas pese a las alertas a Google. Se recomienda desinstalarlas inmediatamente.

Una extensión falsa para desarrolladores publicada en el mercado OpenVSX está propagando silenciosamente una cepa de malware conocida como GlassWorm en todos los editores de código instalados en la máquina de un desarrollador. El paquete malicioso se hace pasar por una herramienta de productividad legítima y utiliza un binario nativo compilado para infectar de manera sigilosa VS Code, Cursor, Windsurf y varios otros editores

LinkedIn escanea más de 6.000 extensiones de Chrome mediante JavaScript oculto para recopilar datos de usuarios, incluyendo información sensible vinculada a perfiles reales y competidores como Apollo o ZoomInfo, según el informe BrowserGate. BleepingComputer confirmó que el script detecta extensiones y datos del dispositivo (CPU, memoria, resolución, etc.), aunque LinkedIn niega uso malintencionado y alega protección de su plataforma. El informe surge de una disputa con un desarrollador cuya cuenta fue suspendida.

Cada vez que abres LinkedIn en un navegador basado en Chrome, un JavaScript oculto escanea silenciosamente tu computadora en busca de software instalado sin tu conocimiento, sin tu consentimiento y sin una sola mención en la política de privacidad de LinkedIn. Una investigación reveladora realizada por el grupo europeo de defensa Fairlinked e.V., bajo el nombre de campaña "BrowserGate"

Para muchos usuarios, interactuar con un asistente de IA requiere abrir una pestaña dedicada del navegador, lo que aísla inherentemente a la IA de otras actividades de navegación. Aunque esta separación mejora la privacidad, reduce su utilidad y contexto. Para cerrar esta brecha, las extensiones de navegador con IA han aumentado en popularidad, permitiendo que los agentes de IA interactúen sin problemas con correos electrónicos, portales corporativos

Recientemente se descubrió una grave falla de seguridad en Open VSX, el mercado de extensiones utilizado por editores de código populares como Cursor y Windsurf, así como por el ecosistema más amplio de bifurcaciones de VS Code. La vulnerabilidad se encontró dentro de la nueva canalización de escaneo previa a la publicación de la plataforma, una capa de seguridad diseñada para revisar cada extensión antes de que esté disponible.

Descubre 5 extensiones de Chrome que potencian NotebookLM, la herramienta de IA de Google para procesar documentos y fuentes propias, ideal para estudiantes y profesionales que buscan optimizar su investigación.

Una popular extensión de editor de código listada en el registro Open VSX fue descubierta conteniendo malware oculto que descarga y ejecuta de forma silenciosa un troyano de acceso remoto (RAT) y un infostealer completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible. La extensión, conocida como fast-draft bajo la cuenta del editor KhangNghiem, había acumulado más de 26,000 descargas antes de que se detectara la actividad maliciosa incrustada

Una extensión maliciosa de Chrome que afirma ayudar a los usuarios de Meta Business roba silenciosamente los códigos 2FA del Facebook Business Manager y datos analíticos, poniendo en riesgo de toma de control cuentas publicitarias de alto valor. La extensión, llamada “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), aún está disponible en la Chrome Web Store y apunta específicamente a entornos de Meta Business Suite y Facebook Business Manager.

Investigadores de LayerX descubrieron 30 extensiones falsas de IA en Chrome con 300.000 usuarios afectados, que robaban credenciales y correos electrónicos.

Más de medio millón de usuarios de VKontakte han sido víctimas de una sofisticada campaña de malware que secuestra silenciosamente sus cuentas a través de extensiones de Chrome aparentemente inofensivas. Las extensiones maliciosas, disfrazadas como herramientas de personalización de VK, suscriben automáticamente a los usuarios a grupos controlados por los atacantes, restablecen la configuración de las cuentas cada 30 días y manipulan tokens de seguridad para mantener un control persistente.

Investigadores en seguridad han identificado el primer caso documentado de un complemento malicioso de Microsoft Outlook utilizado contra usuarios en escenarios del mundo real. Un programador de reuniones comprometido llamado AgreeTo fue empleado para robar más de 4.000 credenciales de cuentas Microsoft, números de tarjetas de crédito y respuestas a preguntas de seguridad bancarias. AgreeTo comenzó como un proyecto legítimo de código abierto publicado en Microsoft Office