Безпека плагінів Google: SwitchyOmega має потенційні ризики, як запобігти зміні плагінів?

Нещодавно деякі користувачі виявили, що відомий плагін для перемикання проксі SwitchyOmega може мати загрозу безпеці у вигляді крадіжки приватних ключів. Цю проблему насправді було попереджено ще минулого року, але деякі користувачі, можливо, не звернули на це уваги і продовжують користуватися ураженими версіями плагіна, стикаючись із серйозними ризиками, такими як витік приватних ключів і захоплення облікових записів. У цій статті буде проаналізовано випадок підробки плагіна та обговорено, як запобігти підробці плагінів і як реагувати на зловмисні плагіни.

Огляд подій

Ця подія спочатку виникла внаслідок розслідування атаки. 24 грудня 2024 року співробітник однієї компанії отримав фішинговий лист, що призвело до того, що випущений ним плагін для браузера був заражений шкідливим кодом, який намагався вкрасти кукі та паролі користувачів браузера. В ході розслідування виявлено, що в магазині плагінів Google вже понад 30 плагінів зазнали подібних атак, включаючи Proxy SwitchOmega (V3).

Зловмисники отримали контроль над акаунтом розробника через підроблений інтерфейс авторизації OAuth, після чого завантажили нову версію розширення з шкідливим кодом. Використовуючи механізм автоматичного оновлення Chrome, постраждалі користувачі без відома оновилися до шкідливої версії.

Дослідження вказує на те, що плагіни, які постраждали від атак, мають загальну кількість завантажень у магазині Google, що перевищує 500 тисяч разів, а чутливі дані на понад 2,6 мільйонах пристроїв користувачів були викрадені, що становить величезний ризик для безпеки користувачів. Ці модифіковані розширення були доступні в магазині додатків протягом до 18 місяців, а постраждалі користувачі майже не могли виявити, що їхні дані були скомпрометовані.

Оскільки магазин Chrome поступово перестає підтримувати плагіни версії V2, а офіційна версія SwitchyOmega є версією V2, вона також потрапляє під дію цієї заборони. Забруднена шкідлива версія має версію V3, а обліковий запис її розробника відрізняється від облікового запису оригінальної версії V2. Наразі неможливо підтвердити, чи була ця версія випущена офіційно, і також неможливо визначити, чи обліковий запис розробника було зламано і надіслано шкідливу версію, або ж автор V3 від самого початку мав злочинні наміри.

Експерти з безпеки рекомендують користувачам перевірити ID встановлених плагінів, щоб підтвердити, чи є вони офіційними версіями. Якщо виявлено, що встановлені плагіни підлягають впливу, їх слід негайно оновити до останньої безпечної версії або видалити, щоб знизити ризики безпеки.

Як запобігти змінам у плагіні?

Розширення для браузерів завжди були слабким місцем в кібербезпеці. Щоб уникнути модифікації плагінів або завантаження шкідливих плагінів, користувачам необхідно забезпечити безпеку з трьох аспектів: встановлення, використання та управління.

1. Завантажуйте плагіни лише з офіційних каналів

   • Переважно використовувати офіційний магазин Chrome, не довіряйте стороннім посиланням для завантаження з Інтернету.
   • Уникайте використання неперевірених "зламаних" плагінів, багато модифікованих плагінів можуть містити бекдори

2. Будьте обережні з запитами на дозволи плагінів

   • Обережно надавайте дозволи, деякі плагіни можуть вимагати непотрібних дозволів
   • При зустрічі з плагіном, який вимагає доступу до чутливої інформації, обов'язково будьте обережні.

3. Регулярно перевіряйте встановлені плагіни

   • Увійдіть у адресний рядок Chrome chrome://extensions/ для перегляду всіх встановлених розширень
   • Звертайте увагу на останній час оновлення плагіна. Якщо плагін давно не оновлювався, але раптом випустили нову версію, слід бути обережними, оскільки його могли змінити.
   • Регулярно перевіряйте інформацію про розробника плагіна; якщо розробника плагіна змінено або змінилися права доступу, будьте обережні.

4. Використовуйте професійні інструменти для моніторингу руху коштів, щоб запобігти втраті активів

   • Якщо є підозри на витік приватного ключа, можна використовувати відповідні інструменти для моніторингу транзакцій в мережі, щоб вчасно дізнатися про напрямок руху коштів.

Для команди проекту, як розробники та підтримувачі плагінів, слід вжити більш суворих заходів безпеки, щоб запобігти ризикам, таким як зловмисне втручання, атаки на ланцюг постачання, зловживання OAuth тощо:

1. OAuth контроль доступу

   • Обмежити область авторизації, моніторити журнали OAuth
   • Намагайтеся використовувати механізм короткочасних токенів + токенів оновлення, уникаючи тривалого зберігання токенів з високими привілеями.

2. Підвищення безпеки облікового запису в магазині додатків

   • Увімкнути двофакторну аутентифікацію
   • Використання мінімальних прав доступу

3. Регулярний аудит

   • Регулярно проводити аудит безпеки коду плагіна

4. Моніторинг плагінів

   • Моніторинг плагіна на наявність захоплення в реальному часі
   • Виявивши проблему, негайно відкликати шкідливу версію, опублікувати повідомлення про безпеку, сповістити користувачів про видалення зараженої версії

Як обробити плагіни, у які вже було впроваджено шкідливий код?

Якщо ви виявили, що плагін був інфікований шкідливим кодом, або підозрюєте, що плагін може містити ризики, рекомендується користувачам вжити такі заходи:

1. Негайно видалити плагін

   • Перейдіть на сторінку керування розширеннями Chrome, знайдіть уражене розширення та видаліть його.
   • Повністю видалити дані плагіна, щоб запобігти подальшому запуску залишкового шкідливого коду

2. Змінити чутливу інформацію, яка може бути розкрита

   • Змінити всі збережені паролі браузера, особливо паролі, пов'язані з біржами криптовалют, банківськими рахунками.
   • Створити новий гаманець і безпечно перенести активи (якщо плагін отримав доступ до криптогаманця)
   • Перевірте, чи не було витоку API Key, і негайно скасуйте старий API Key, подайте заявку на новий ключ

3. Скануйте систему, щоб перевірити на наявність бекдорів або шкідливого програмного забезпечення

   • Запустіть антивірусне програмне забезпечення або інструменти для боротьби з шкідливим ПЗ
   • Перевірте файл Hosts, щоб переконатися, що він не був змінений на зловмисні адреси серверів.
   • Перегляньте стандартний пошуковий двигун і домашню сторінку браузера, деякі шкідливі плагіни можуть змінити ці налаштування

4. Моніторинг облікового запису на наявність аномальної активності

   • Перевірте історію входу до біржі та банківського рахунку, якщо виявите аномальний вхід з IP-адреси, необхідно терміново змінити пароль і активувати двофакторну аутентифікацію.
   • Перевірте історію транзакцій криптогаманця, щоб підтвердити, чи є аномальні перекази
   • Перевірте, чи не було вкрадено акаунти в соціальних мережах; якщо є підозрілі приватні повідомлення або публікації, потрібно терміново змінити пароль

5. Надати зворотний зв'язок офіційним органам, щоб запобігти подальшій шкоді для користувачів.

   • Якщо ви виявите, що плагін був змінений, ви можете зв'язатися з оригінальною командою розробників або повідомити про це офіційну службу Chrome.
   • Можна зв'язатися з командою безпеки, опублікувати попередження про ризики, щоб нагадати більшій кількості користувачів звертати увагу на безпеку

Хоча браузерні плагіни можуть покращити досвід користувачів, вони також можуть стати вразливими місцями для хакерських атак, що призводить до ризику витоку даних і втрати активів. Тому користувачі, насолоджуючись зручністю, також повинні бути обережними, формуючи правильні звички безпеки, наприклад, обережно встановлюючи та управляючи плагінами, регулярно перевіряючи дозволи, своєчасно оновлюючи або видаляючи підозрілі плагіни тощо. Тим часом розробники та платформи також повинні посилити заходи безпеки, щоб забезпечити безпеку та відповідність плагінів. Тільки спільними зусиллями користувачів, розробників та платформ можна підвищити обізнаність про безпеку та впровадити ефективні заходи захисту, щоб насправді зменшити ризики та забезпечити безпеку даних і активів.