Las extensiones QuickLens y ShotBird habrían pasado de ser herramientas aparentemente normales a incluir actualizaciones maliciosas tras un cambio de propiedad. Según el análisis publicado, las nuevas versiones permiten inyección remota de JavaScript, manipulación de respuestas web y flujos de engaño tipo ClickFix orientados a robar datos y, en algunos casos, provocar ejecución de comandos en Windows.
Una de las ideas más peligrosas de la seguridad moderna es que el riesgo no siempre entra ‘por la puerta principal’: puede colarse a través de una cadena de suministro aparentemente inocua. Eso es lo que ilustra el caso de dos extensiones de Google Chrome que, según la investigación recogida, habrían cambiado de manos y, tras ese traspaso, empezaron a distribuir actualizaciones con comportamiento malicioso. Las extensiones señaladas son QuickLens – Search Screen with Google Lens (ID kdenlnncndfnhkognokgfpabgkgehodd) y ShotBird – Scrolling Screenshots, Tweet Images & Editor (ID gengfhhkjekmlejbhmmopegofnoifnjp), originalmente asociadas al desarrollador BuildMelon y posteriormente vinculadas a otros contactos de soporte, lo que sugiere un posible cambio de propietario.
En el caso de QuickLens, la actualización considerada maliciosa (fechada a mediados de febrero de 2026) habría mantenido funciones ‘normales’ para no levantar sospechas, pero añadiendo capacidades orientadas a abuso. Entre ellas, destaca la posibilidad de alterar respuestas HTTP para eliminar cabeceras de seguridad como X-Frame-Options, lo que puede facilitar ataques de incrustación o manipulación de contenido. Además, el comportamiento descrito incluye un ‘polling’ periódico (aproximadamente cada cinco minutos) hacia un servidor externo para obtener JavaScript remoto. Ese código se guardaría en local storage y se ejecutaría en cada carga de página mediante una técnica de inyección basada en un elemento de 1×1 y su evento onload. Lo relevante aquí es que el payload no estaría presente de forma fija en el paquete de la extensión, sino que llegaría desde C2 y existiría principalmente en tiempo de ejecución, complicando el análisis estático y la detección por revisiones tradicionales.
ShotBird presentaría un enfoque algo distinto: entrega de JavaScript mediante callbacks y, según el reporte, el uso de un señuelo de ‘actualización de Chrome‘ para arrastrar al usuario a una cadena tipo ClickFix. Ese flujo puede acabar guiando a la víctima para abrir Run/cmd.exe y pegar un comando PowerShell que descarga un ejecutable denominado googleupdate.exe en Windows, elevando el impacto de una simple extensión a un posible compromiso del endpoint.
El impacto potencial es alto porque estas capacidades permiten desde inyección de código en páginas visitadas hasta robo de credenciales y de datos introducidos en formularios (por ejemplo, PIN, datos de tarjetas, tokens o identificadores). También se apunta la posibilidad de exfiltrar información del propio navegador, como historial, datos sobre extensiones instaladas y, en ciertos escenarios, datos sensibles almacenados o accesibles desde el entorno del navegador.
Para organizaciones, el caso es especialmente serio en entornos con navegadores gestionados y allowlists de extensiones: una extensión permitida por ser conocida o incluso ‘destacada’ puede convertirse en un vector tras una actualización. La recomendación práctica es clara: desinstalar de inmediato QuickLens y ShotBird si están presentes, auditar extensiones en equipos corporativos, y revisar políticas para reevaluar extensiones cuando cambian de propietario, añaden permisos o empiezan a comunicarse con dominios nuevos o a ejecutar patrones sospechosos (polling frecuente a C2, almacenamiento de payloads en local storage, inyección en todas las páginas o redirecciones a falsas actualizaciones). En Windows, conviene además buscar señales de ejecuciones anómalas de PowerShell y artefactos asociados como googleupdate.exe.
