Incidente de seguridad de la extensión de Google: SwitchyOmega presenta riesgos potenciales, ¿cómo prevenir la manipulación de la extensión?

Recientemente, algunos usuarios han descubierto que el conocido complemento de cambio de proxy SwitchyOmega podría tener una vulnerabilidad de seguridad que roba claves privadas. Este problema ya había sido advertido el año pasado, pero algunos usuarios pueden no haberlo notado y siguen utilizando versiones del complemento afectadas, enfrentando graves riesgos de fuga de claves privadas y secuestro de cuentas. Este artículo analizará la situación de la manipulación de este complemento y explorará cómo prevenir la manipulación de complementos y cómo lidiar con complementos maliciosos.

Revisión de eventos

Este incidente se originó inicialmente en una investigación de ataque. El 24 de diciembre de 2024, un empleado de una empresa recibió un correo electrónico de phishing, lo que llevó a que el complemento del navegador que publicó fuera inyectado con código malicioso, intentando robar las cookies y contraseñas del navegador del usuario. La investigación reveló que más de 30 complementos en la tienda de complementos de Google habían sufrido ataques similares, incluyendo Proxy SwitchOmega (V3).

Los atacantes obtuvieron el control de la cuenta de desarrollador mediante una interfaz de autorización OAuth falsa, y luego subieron una nueva versión de la extensión que contenía código malicioso. Aprovechando el mecanismo de actualización automática de Chrome, los usuarios afectados actualizaron a la versión maliciosa sin darse cuenta.

El informe de investigación señala que los complementos afectados por estos ataques han sido descargados más de 500,000 veces en la tienda de Google, y más de 2.6 millones de dispositivos de usuarios han tenido datos sensibles robados, lo que representa un gran riesgo de seguridad para los usuarios. Estas extensiones alteradas estuvieron disponibles en la tienda de aplicaciones durante un máximo de 18 meses, y los usuarios afectados apenas pueden darse cuenta de que sus datos han sido filtrados.

Debido a que la tienda de Chrome está dejando de soportar los complementos de versión V2, y la versión original de SwitchyOmega es de versión V2, también queda fuera de soporte. La versión maliciosa contaminada es de versión V3, y la cuenta del desarrollador es diferente de la cuenta de la versión original V2. En este momento, no se puede confirmar si esta versión fue publicada oficialmente, ni se puede determinar si la cuenta del desarrollador fue hackeada y se subió una versión maliciosa, o si el autor de la versión V3 ya tenía intenciones maliciosas.

Los expertos en seguridad aconsejan a los usuarios que verifiquen el ID de los complementos instalados para confirmar si son versiones oficiales. Si se descubre que se ha instalado un complemento afectado, se debe actualizar de inmediato a la última versión segura o eliminarlo directamente para reducir el riesgo de seguridad.

¿Cómo prevenir que los complementos sean alterados?

Las extensiones de navegador siempre han sido un eslabón débil en la seguridad en línea. Para evitar que los complementos sean alterados o que se descarguen complementos maliciosos, los usuarios deben realizar una buena protección de seguridad en tres aspectos: instalación, uso y gestión.

1. Descarga los complementos solo desde canales oficiales.

   • Prioriza el uso de la tienda oficial de Chrome, no confíes en los enlaces de descarga de terceros en línea.
   • Evita usar plugins "crackeados" no verificados, muchos plugins modificados pueden haber sido infiltrados con puertas traseras.

2. Esté atento a las solicitudes de permisos de los complementos

   • Otorgar permisos con precaución, algunos complementos pueden solicitar permisos innecesarios
   • Si se encuentra con un complemento que solicita leer información sensible, asegúrese de estar alerta.

3. Revisar periódicamente los complementos instalados

   • Ingresa chrome://extensions/ en la barra de direcciones de Chrome para ver todas las extensiones instaladas.
   • Presta atención a la última fecha de actualización del plugin; si un plugin no se ha actualizado durante mucho tiempo y de repente publica una nueva versión, ten cuidado con la posibilidad de que haya sido manipulado.
   • Verifique regularmente la información del desarrollador del complemento, si el complemento cambia de desarrollador o hay cambios en los permisos, debe estar alerta.

4. Utilizar herramientas profesionales para monitorear el flujo de fondos y prevenir pérdidas de activos.

   • Si sospechas que la clave privada se ha filtrado, puedes utilizar herramientas relacionadas para monitorear las transacciones en la cadena y conocer a tiempo el flujo de fondos.

Para los desarrolladores y mantenedores de plugins, los equipos de proyecto deben adoptar medidas de seguridad más estrictas para prevenir riesgos como la manipulación maliciosa, ataques a la cadena de suministro, abuso de OAuth, entre otros:

1. Control de acceso OAuth

   • Restringir el alcance de la autorización, monitorear los registros de OAuth
   • Intenta utilizar un mecanismo de tokens de corta duración + tokens de actualización, evitando el almacenamiento a largo plazo de tokens de alta autoridad.

2. Mejorar la seguridad de la cuenta de la tienda de aplicaciones

   • Activar la autenticación de dos factores
   • Gestión de permisos mínimos

3. Auditoría periódica

   • Realizar auditorías de seguridad en el código del plugin de forma regular

4. Monitoreo de complementos

   • Monitorear en tiempo real si el complemento ha sido secuestrado
   • Detectar problemas y retirar a tiempo las versiones maliciosas, publicar un aviso de seguridad y notificar a los usuarios para que desinstalen la versión infectada.

¿Cómo manejar los plugins que han sido infectados con código malicioso?

Si se descubre que el complemento ha sido infectado por código malicioso, o si se sospecha que el complemento puede representar un riesgo, se recomienda a los usuarios que tomen las siguientes medidas:

1. Eliminar el complemento de inmediato

   • Accede a la página de gestión de extensiones de Chrome, encuentra el complemento afectado y elimínalo.
   • Eliminar por completo los datos del complemento para evitar que el código malicioso residual siga ejecutándose

2. Cambiar la información sensible que puede haber sido filtrada

   • Cambiar todas las contraseñas guardadas en el navegador, especialmente las que están relacionadas con intercambios de criptomonedas y cuentas bancarias.
   • Crear una nueva billetera y transferir activos de manera segura (si el complemento accedió a la billetera criptográfica)
   • Verifica si la clave API ha sido filtrada y revoca de inmediato la clave API antigua, solicitando una nueva.

3. Escanear el sistema para verificar si hay puertas traseras o malware

   • Ejecutar software antivirus o herramientas antimalware
   • Verifica el archivo Hosts y asegúrate de que no haya sido modificado a una dirección de servidor malicioso
   • Ver el motor de búsqueda y la página de inicio predeterminados del navegador, algunos complementos maliciosos pueden alterar estos ajustes

4. Monitorear si hay actividades anómalas en la cuenta

   • Revisa el historial de inicio de sesión de los intercambios y cuentas bancarias; si encuentras inicios de sesión desde IPs anormales, debes cambiar la contraseña de inmediato y activar la autenticación de dos factores.
   • Verifica el historial de transacciones de la billetera de criptomonedas para confirmar si hay transferencias anómalas.
   • Verifica si las cuentas de redes sociales han sido comprometidas; si hay mensajes o publicaciones anómalas, debes cambiar la contraseña de inmediato.

5. Informar a las autoridades para prevenir que más usuarios sean perjudicados.

   • Si se descubre que el complemento ha sido alterado, se puede contactar al equipo de desarrollo original o informar a Chrome.
   • Se puede contactar al equipo de seguridad para emitir alertas de riesgo y recordar a más usuarios que presten atención a la seguridad.

Si bien las extensiones de navegador pueden mejorar la experiencia del usuario, también pueden convertirse en un punto de entrada para ataques de hackers, lo que conlleva riesgos de filtración de datos y pérdida de activos. Por lo tanto, mientras los usuarios disfrutan de la comodidad, también deben mantenerse alerta y desarrollar buenos hábitos de seguridad, como instalar y gestionar las extensiones con precaución, revisar permisos periódicamente y actualizar o eliminar extensiones sospechosas a tiempo. Al mismo tiempo, los desarrolladores y las plataformas también deben fortalecer las medidas de protección de seguridad para garantizar la seguridad y la conformidad de las extensiones. Solo si los usuarios, desarrolladores y plataformas trabajan juntos para aumentar la conciencia de seguridad y implementar medidas de protección efectivas, se podrá reducir realmente el riesgo y garantizar la seguridad de los datos y los activos.