Événement de sécurité des plugins Google : SwitchyOmega présente un risque potentiel, comment prévenir la modification des plugins ?

Récemment, certains utilisateurs ont découvert que le célèbre plugin de commutation de proxy SwitchyOmega pourrait présenter un risque de sécurité concernant le vol de clés privées. Ce problème avait en fait déjà fait l'objet d'un avertissement de sécurité l'année dernière, mais certains utilisateurs n'ont peut-être pas fait attention et continuent d'utiliser des versions de plugin affectées, s'exposant à des risques graves tels que la fuite de clés privées et le détournement de comptes. Cet article analysera la situation de la modification du plugin et explorera comment prévenir la falsification des plugins et faire face à des plugins malveillants.

Récapitulatif des événements

Cet incident a d'abord été déclenché par une enquête sur une attaque. Le 24 décembre 2024, un employé d'une entreprise a reçu un e-mail de phishing, ce qui a conduit à l'injection de code malveillant dans un plugin de navigateur qu'il a publié, essayant de voler les cookies et mots de passe des utilisateurs. L'enquête a révélé que plus de 30 plugins sur le marché des plugins Google avaient subi des attaques similaires, y compris Proxy SwitchOmega (V3).

Un attaquant a obtenu le contrôle d'un compte développeur en utilisant une interface d'autorisation OAuth falsifiée, puis a téléchargé une nouvelle version de l'extension contenant du code malveillant. En utilisant le mécanisme de mise à jour automatique de Chrome, les utilisateurs affectés ont été mis à jour vers la version malveillante à leur insu.

Le rapport d'enquête indique que ces plugins affectés par des attaques ont été téléchargés plus de 500 000 fois dans le magasin Google, avec des données sensibles volées sur plus de 2,6 millions d'appareils utilisateurs, ce qui représente un risque de sécurité considérable pour les utilisateurs. Ces extensions modifiées ont été disponibles dans le magasin d'applications pendant un maximum de 18 mois, et les utilisateurs victimes ont presque été incapables de détecter que leurs données avaient été divulguées.

En raison du fait que le Chrome Web Store ne prend progressivement plus en charge les extensions de version V2, et que la version officielle de SwitchyOmega est de version V2, elle n'est donc pas non plus prise en charge. La version malveillante contaminée est de version V3, et le compte développeur est différent de celui de la version officielle V2. Il n'est actuellement pas possible de confirmer si cette version a été publiée par les développeurs officiels, ni de déterminer si le compte développeur a été piraté pour uploader une version malveillante, ou si l'auteur de la version V3 avait lui-même des intentions malveillantes.

Les experts en sécurité recommandent aux utilisateurs de vérifier l'ID des plugins installés pour s'assurer qu'ils sont de version officielle. Si des plugins affectés sont installés, ils doivent être mis à jour vers la dernière version sécurisée ou supprimés immédiatement pour réduire les risques de sécurité.

Comment prévenir la falsification des plugins ?

Les extensions de navigateur ont toujours été un maillon faible en matière de sécurité en ligne. Pour éviter que les plugins ne soient altérés ou téléchargés en tant que plugins malveillants, les utilisateurs doivent prendre des mesures de sécurité dans trois domaines : installation, utilisation et gestion.

1. Téléchargez les plugins uniquement à partir de sources officielles.

   • Utilisez de préférence le magasin officiel Chrome, ne faites pas confiance aux liens de téléchargement tiers sur Internet.
   • Évitez d'utiliser des plugins "crackés" non vérifiés, de nombreux plugins modifiés peuvent avoir été implantés avec des portes dérobées.

2. Méfiez-vous des demandes de permissions des plugins

   • Accordez des autorisations avec précaution, certains plugins peuvent demander des autorisations inutiles.
   • En cas de demande de plugin pour lire des informations sensibles, restez vigilant.

3. Vérifiez régulièrement les plugins installés

   • Dans la barre d'adresse de Chrome, saisissez chrome://extensions/ pour voir toutes les extensions installées.
   • Faites attention à la dernière mise à jour du plugin. Si le plugin n'a pas été mis à jour depuis longtemps et qu'une nouvelle version est soudainement publiée, soyez vigilant quant à la possibilité qu'il ait été modifié.
   • Vérifiez régulièrement les informations sur le développeur du plugin. Si le développeur du plugin change ou si les autorisations changent, restez vigilant.

4. Utiliser des outils professionnels pour surveiller les flux de fonds et prévenir les pertes d'actifs

   • En cas de suspicion de fuite de la clé privée, vous pouvez utiliser des outils pertinents pour surveiller les transactions sur la chaîne et comprendre rapidement le flux de fonds.

Pour les projets, en tant que développeurs et mainteneurs de plugins, des mesures de sécurité plus strictes doivent être prises pour prévenir les risques de falsification malveillante, d'attaques de la chaîne d'approvisionnement, d'abus d'OAuth, etc. :

1. Contrôle d'accès OAuth

   • Limiter la portée d'autorisation, surveiller les journaux OAuth
   • Essayez d'utiliser un mécanisme de jetons à court terme + jetons de rafraîchissement pour éviter le stockage à long terme de jetons à haute autorité.

2. Renforcer la sécurité des comptes de la boutique d'applications

   • Activer l'authentification à deux facteurs
   • Utiliser la gestion des privilèges minimaux

3. Audit périodique

   • Effectuer des audits de sécurité réguliers du code des plugins

4. Surveillance des plugins

   • Surveiller en temps réel si le plugin a été détourné
   • Identifier les problèmes et retirer rapidement les versions malveillantes, publier un avis de sécurité et informer les utilisateurs de désinstaller les versions infectées.

Comment traiter un plugin ayant été infiltré par du code malveillant ?

Si vous découvrez que le plugin a été infecté par un code malveillant, ou si vous soupçonnez que le plugin pourrait présenter un risque, il est conseillé aux utilisateurs de prendre les mesures suivantes :

1. Retirer le plugin immédiatement

   • Accédez à la page de gestion des extensions Chrome, trouvez le plugin affecté et supprimez-le.
   • Supprimer complètement les données du plugin pour empêcher le code malveillant résiduel de continuer à s'exécuter

2. Modifier les informations sensibles susceptibles d'être divulguées

   • Changez tous les mots de passe enregistrés de votre navigateur, en particulier ceux liés aux échanges de cryptomonnaies et aux comptes bancaires.
   • Créez un nouveau portefeuille et transférez les actifs en toute sécurité (si le plugin a accédé au portefeuille cryptographique)
   • Vérifiez si la clé API a été divulguée, et révoquez immédiatement l'ancienne clé API, demandez une nouvelle clé.

3. Scanner le système pour vérifier s'il y a des portes dérobées ou des logiciels malveillants

   • Exécutez un logiciel antivirus ou un outil anti-malware
   • Vérifiez le fichier Hosts pour vous assurer qu'il n'a pas été modifié pour des adresses de serveurs malveillants
   • Vérifiez le moteur de recherche par défaut et la page d'accueil de votre navigateur, certains plugins malveillants peuvent altérer ces paramètres.

4. Surveiller les activités anormales sur le compte

   • Vérifiez l'historique de connexion des échanges et des comptes bancaires. En cas de connexion avec une IP suspecte, changez immédiatement le mot de passe et activez l'authentification à deux facteurs.
   • Vérifiez les enregistrements de transactions de votre portefeuille crypto pour confirmer s'il y a des transferts anormaux.
   • Vérifiez si vos comptes de médias sociaux ont été compromis. En cas de messages ou de publications suspects, changez immédiatement votre mot de passe.

5. Faire des retours aux autorités pour prévenir d'autres utilisateurs d'être victimes.

   • Si vous constatez que le module complémentaire a été altéré, vous pouvez contacter l'équipe de développement d'origine ou signaler le problème à Chrome.
   • Vous pouvez contacter l'équipe de sécurité, publier des alertes de risque et rappeler à davantage d'utilisateurs de faire attention à la sécurité.

Bien que les extensions de navigateur puissent améliorer l'expérience utilisateur, elles peuvent également devenir des points d'entrée pour les attaques des hackers, entraînant des risques de fuite de données et de perte d'actifs. Par conséquent, tout en profitant de la commodité, les utilisateurs doivent également rester vigilants et adopter de bonnes habitudes de sécurité, telles que l'installation et la gestion prudentes des extensions, la vérification régulière des autorisations et la mise à jour ou la suppression en temps utile des extensions suspectes. Parallèlement, les développeurs et les plateformes doivent renforcer les mesures de protection de la sécurité pour garantir la sécurité et la conformité des extensions. Ce n'est qu'en unissant les efforts des utilisateurs, des développeurs et des plateformes pour sensibiliser à la sécurité et mettre en œuvre des mesures de protection efficaces que nous pourrons réellement réduire les risques et garantir la sécurité des données et des actifs.