AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Campaña de Phishing Dirigida a Desarrolladores en AMO Compromete la Seguridad del Ecosistema de Extensiones Firefox**

admin

### Introducción

Mozilla ha emitido una alerta dirigida a la comunidad de desarrolladores de extensiones de Firefox tras identificar una campaña activa de phishing cuyo objetivo es comprometer cuentas en el repositorio oficial AMO (addons.mozilla.org). Este incidente subraya la creciente sofisticación de las amenazas orientadas a la cadena de suministro de software, especialmente en plataformas de distribución de extensiones, y plantea retos relevantes para la integridad de los navegadores y la seguridad de los usuarios finales.

### Contexto del Incidente

A lo largo de las últimas semanas, varios desarrolladores han reportado la recepción de correos electrónicos fraudulentos que simulan comunicaciones oficiales de Mozilla. Estos mensajes buscan engañar a los destinatarios para que cedan sus credenciales de acceso al portal de desarrolladores de AMO. El objetivo de los atacantes es obtener control sobre extensiones legítimas, lo que les permitiría introducir actualizaciones maliciosas y potencialmente comprometer a millones de usuarios de Firefox.

El repositorio AMO es la única fuente oficial y validada para la distribución de complementos de Firefox, por lo que cualquier brecha en su cadena de suministro podría tener efectos masivos y de largo alcance.

### Detalles Técnicos

La campaña de phishing identificada utiliza técnicas de spear phishing, con mensajes personalizados que aparentan proceder del equipo de revisión de Mozilla. Los correos incluyen enlaces a dominios maliciosos cuidadosamente diseñados para imitar la apariencia del portal de autenticación de AMO.

#### Vectores de ataque y TTPs

– **Phishing vía correo electrónico**: los emails contienen solicitudes urgentes de verificación de cuenta o actualización de políticas de seguridad, presionando al desarrollador a acceder a enlaces fraudulentos.
– **Ingeniería social avanzada**: uso de nombres e imágenes de marca legítimas de Mozilla para aumentar la credibilidad del mensaje.
– **Harvesting de credenciales**: los sitios de phishing recopilan credenciales y, en ocasiones, tokens de autenticación multifactor (MFA), empleando proxies de sesión (en ocasiones, reverse proxies como Evilginx2).
– **Acceso no autorizado a AMO**: con las credenciales robadas, los atacantes pueden subir versiones maliciosas de extensiones legítimas.

#### Indicadores de compromiso (IoC)

– URLs maliciosas similares a `addons-mozilla[.]org` o variantes typo-squatting.
– IPs asociadas a infraestructuras conocidas de phishing.
– Logs de accesos sospechosos en cuentas de desarrollador fuera de horarios habituales o desde ubicaciones atípicas.

#### CVE y frameworks relacionados

Aunque no existe un CVE específico para este ataque de phishing, la amenaza se alinea con técnicas MITRE ATT&CK como **Phishing (T1566)** y **Valid Accounts (T1078)**. Herramientas como Evilginx2 y Modlishka han sido empleadas en campañas similares para eludir MFA capturando tokens de sesión.

### Impacto y Riesgos

El riesgo principal reside en la posibilidad de que extensiones populares sean actualizadas con código malicioso, permitiendo la ejecución de scripts arbitrarios, el robo de credenciales, la exfiltración de datos o el secuestro de sesiones. Dado que un gran porcentaje de usuarios de Firefox instala extensiones a través de AMO, la superficie de afectación es significativa: se estima que más de **450 millones de usuarios** utilizan Firefox, y las extensiones más populares cuentan con decenas de millones de instalaciones activas.

Un compromiso exitoso de una extensión legítima podría facilitar ataques de supply chain similares al incidente de SolarWinds o a las campañas de NPM y PyPI, donde la confianza en la cadena de distribución se traduce en un elevado potencial de daño.

El incidente también expone a Mozilla a riesgos regulatorios bajo el **GDPR** y la próxima directiva **NIS2**, que refuerza las obligaciones de ciberseguridad en servicios digitales y plataformas de distribución.

### Medidas de Mitigación y Recomendaciones

Mozilla recomienda encarecidamente a los desarrolladores:

– **No acceder nunca a enlaces recibidos por email** relacionados con la gestión de extensiones; en su lugar, navegar directamente a https://addons.mozilla.org.
– **Activar la autenticación multifactor (MFA)** en sus cuentas de AMO.
– Revisar los logs de actividad de la cuenta para identificar accesos sospechosos.
– Denunciar inmediatamente cualquier intento de phishing al equipo de seguridad de Mozilla.
– Utilizar gestores de contraseñas para evitar la reutilización de credenciales entre servicios.
– Mantenerse informados sobre nuevas campañas y actualizaciones de seguridad publicadas por Mozilla.

Adicionalmente, Mozilla está evaluando implementar políticas de revisión automática más estrictas e incrementar la visibilidad de los cambios realizados en las extensiones tras cada actualización.

### Opinión de Expertos

Analistas de amenazas y responsables de ciberseguridad han señalado que este tipo de ataques evidencian la fragilidad de los ecosistemas de extensiones y la necesidad de reforzar los controles de acceso y las estrategias de Zero Trust. «La cadena de suministro de software sigue siendo uno de los eslabones más débiles. Un solo compromiso puede tener consecuencias exponenciales», afirma Raúl García, CISO de una multinacional tecnológica. Otros expertos resaltan que la sofisticación de los ataques de phishing, capaces incluso de eludir MFA, obliga a las organizaciones a apostar por tecnología de detección de anomalías y formación continua para desarrolladores.

### Implicaciones para Empresas y Usuarios

Para las empresas, un ataque de este tipo puede traducirse en la distribución de extensiones comprometidas en escritorios corporativos, afectando la confidencialidad de la información y exponiendo la infraestructura a ataques más complejos, como movimientos laterales o escalada de privilegios. Los usuarios particulares, por su parte, corren el riesgo de robo de datos personales, credenciales bancarias o infecciones por malware.

A nivel de cumplimiento, una brecha que afecte a usuarios europeos puede desencadenar investigaciones regulatorias y sanciones conforme al GDPR y, próximamente, a NIS2, que exige protección reforzada para plataformas digitales.

### Conclusiones

La campaña de phishing dirigida a desarrolladores de extensiones en AMO es un recordatorio crítico de la importancia de proteger la cadena de suministro de software. La seguridad de los repositorios oficiales afecta directamente a la integridad de los navegadores y, por extensión, a millones de usuarios y empresas en todo el mundo. Es imperativo que tanto desarrolladores como organizaciones refuercen sus medidas de autenticación, revisen sus procesos de publicación y mantengan la vigilancia frente a tácticas de ingeniería social cada vez más sofisticadas.

(Fuente: www.bleepingcomputer.com)