Безопасность плагина Google: SwitchyOmega имеет потенциальные риски, как предотвратить изменение плагина?

Недавно некоторые пользователи обнаружили, что известный плагин для переключения прокси SwitchyOmega может иметь уязвимость безопасности, связанную с кражей приватных ключей. Эта проблема на самом деле была предупреждена еще в прошлом году, но некоторые пользователи, возможно, не обратили на это внимание и продолжают использовать затронутые версии плагина, подвергаясь серьезным рискам утечки приватных ключей и захвата аккаунтов. В этой статье будет проанализирована ситуация с модифицированным плагином и обсуждены способы предотвращения модификации плагинов и борьбы с вредоносными плагинами.

Обзор событий

Этот инцидент изначально возник в результате расследования атаки. 24 декабря 2024 года сотрудник одной компании получил фишинговое письмо, в результате чего выпущенное им расширение для браузера было заражено вредоносным кодом, пытающимся украсть куки и пароли пользователей браузера. В ходе расследования было установлено, что более 30 расширений в магазине плагинов Google уже подверглись аналогичным атакам, включая Proxy SwitchOmega (V3).

Злоумышленники получили контроль над учетной записью разработчика через поддельный интерфейс авторизации OAuth, после чего загрузили новую версию расширения с вредоносным кодом. Используя механизм автоматического обновления Chrome, пострадавшие пользователи обновились до вредоносной версии без их ведома.

В отчете об исследовании указано, что количество загрузок этих плагинов, подвергшихся атаке, в магазине Google превышает 500000, а более 2,6 миллиона устройств пользователей стали жертвами кражи конфиденциальных данных, что создает огромные риски для безопасности пользователей. Эти измененные расширения были доступны в магазине приложений до 18 месяцев, и пострадавшие пользователи практически не могли заметить, что их данные были утечены.

Поскольку магазин Chrome постепенно перестает поддерживать плагины версии V2, а оригинальная версия SwitchyOmega является версией V2, она также попадает под это ограничение. Зараженная вредоносная версия является версией V3, и учетная запись ее разработчика отличается от учетной записи оригинальной версии V2. В настоящее время невозможно подтвердить, была ли эта версия выпущена официально, и невозможно определить, была ли учетная запись разработчика взломана, после чего была загружена вредоносная версия, или автор версии V3 изначально имел злонамеренные намерения.

Эксперты по безопасности рекомендуют пользователям проверить ID установленных плагинов, чтобы подтвердить, являются ли они официальными версиями. Если обнаружены установленные затронутые плагины, их следует немедленно обновить до последней безопасной версии или удалить, чтобы снизить риски безопасности.

Как предотвратить изменение плагина?

Расширения браузера всегда были слабым местом в кибербезопасности. Чтобы избежать модификации плагинов или загрузки вредоносных плагинов, пользователям необходимо обеспечить безопасность на трех уровнях: установке, использовании и управлении.

1. Загружайте плагины только из официальных источников.

   • Предпочитайте использовать официальный магазин Chrome, не доверяйте третьим лицам в интернете.
   • Избегайте использования непроверенных "взломанных" плагинов, многие модифицированные плагины могут содержать задние двери.

2. Будьте осторожны с запросами на разрешения от плагинов

   • Осторожно предоставляйте разрешения, некоторые плагины могут запрашивать ненужные разрешения
   • При встрече с плагином, запрашивающим доступ к конфиденциальной информации, обязательно будьте настороже.

3. Регулярно проверяйте установленные плагины

   • Введите chrome://extensions/ в адресную строку Chrome, чтобы просмотреть все установленные расширения.
   • Обратите внимание на недавнее обновление плагина. Если плагин долгое время не обновлялся, а затем внезапно выпущена новая версия, будьте осторожны, так как он мог быть изменен.
   • Регулярно проверяйте информацию о разработчике плагина. Если разработчик плагина поменялся или изменились права, необходимо быть на чеку.

4. Используйте профессиональные инструменты для мониторинга денежных потоков, чтобы предотвратить потерю активов.

   • Если вы подозреваете утечку приватного ключа, вы можете использовать соответствующие инструменты для мониторинга транзакций в блокчейне, чтобы своевременно узнать о движении средств.

Для команды проекта, в качестве разработчиков и поддерживающих плагин, следует принять более строгие меры безопасности, чтобы предотвратить риски, такие как злонамеренные изменения, атаки на цепочку поставок, злоупотребление OAuth и др.:

1. Контроль доступа OAuth

   • Ограничить область авторизации, отслеживать журналы OAuth
   • Старайтесь использовать механизм короткоживущих токенов + токенов обновления, избегая длительного хранения токенов с высокими правами доступа.

2. Укрепление безопасности учетной записи в магазине приложений

   • Включить двухфакторную аутентификацию
   • Использование минимальных полномочий для управления

3. Регулярный аудит

   • Регулярно проводить аудит безопасности кода плагинов

4. Мониторинг плагинов

   • В режиме реального времени отслеживайте, был ли плагин захвачен
   • Обнаружив проблему, немедленно удалите вредоносную версию, опубликуйте уведомление о безопасности и уведомите пользователей о необходимости удалить зараженную версию

Как справиться с плагинами, в которые был внедрен вредоносный код?

Если вы обнаружили, что плагин был заражен вредоносным кодом, или подозреваете, что плагин может представлять риск, рекомендуется пользователям предпринять следующие меры:

1. Немедленно удалить плагин

   • Перейдите на страницу управления расширениями Chrome и найдите затронутое расширение для удаления.
   • Полностью удалить данные плагина, чтобы предотвратить выполнение оставшегося вредоносного кода.

2. Измените возможную утечку конфиденциальной информации

   • Замените все сохраненные пароли в браузере, особенно пароли, связанные с криптовалютными биржами и банковскими счетами.
   • Создать новый кошелек и безопасно перенести активы (если плагин получил доступ к криптокошельку)
   • Проверьте, не утек ли API-ключ, и немедленно аннулируйте старый API-ключ, запросите новый ключ.

3. Сканируйте систему, проверьте наличие задних дверей или вредоносного ПО

   • Запустите антивирусное программное обеспечение или инструменты против вредоносного ПО
   • Проверьте файл Hosts, чтобы убедиться, что он не был изменен на адреса вредоносных серверов
   • Проверьте настройки поисковой системы и домашней страницы по умолчанию в браузере, некоторые вредоносные плагины могут изменить эти настройки.

4. Мониторинг аккаунта на наличие подозрительной активности

   • Проверьте историю входа на биржу и банковский счет; если обнаружены необычные IP-входы, необходимо немедленно сменить пароль и включить двухфакторную аутентификацию.
   • Проверьте историю транзакций криптовалютного кошелька, чтобы подтвердить, есть ли аномальные переводы.
   • Проверьте, не были ли взломаны ваши аккаунты в социальных сетях. Если есть подозрительные личные сообщения или посты, немедленно измените пароль.

5. Обратная связь с официальными органами, чтобы предотвратить вред другим пользователям.

   • Если вы обнаружите, что плагин был изменен, вы можете связаться с оригинальной командой разработчиков или сообщить об этом в официальную службу поддержки Chrome.
   • Вы можете связаться с командой безопасности, чтобы выпустить предупреждение о рисках и напомнить большему количеству пользователей о безопасности.

Браузерные плагины могут улучшить пользовательский опыт, но они также могут стать уязвимым местом для хакерских атак, что приводит к рискам утечки данных и потери активов. Поэтому пользователи, наслаждаясь удобством, также должны оставаться настороже и вырабатывать хорошие привычки безопасности, такие как осторожная установка и управление плагинами, регулярная проверка разрешений, своевременное обновление или удаление подозрительных плагинов и т.д. В то же время разработчики и платформы должны укрепить меры безопасности, чтобы обеспечить безопасность и соответствие плагинов. Только совместные усилия пользователей, разработчиков и платформ, направленные на повышение осведомленности о безопасности и внедрение эффективных мер защиты, могут по-настоящему снизить риски и обеспечить безопасность данных и активов.