Відомий плагін Chrome SwitchyOmega має проблеми з безпекою, як захистити плагін від зміни?

Нещодавно користувачі повідомили, що популярний плагін для перемикання проксі Chrome SwitchyOmega може мати ризик безпеки, пов'язаний із викраденням приватних ключів. Після розслідування виявилося, що ця проблема існувала ще минулого року, але деякі користувачі, можливо, не звернули уваги на попередження і продовжували використовувати забруднену версію плагіна, стикаючись зі серйозними загрозами, такими як витік приватних ключів і захоплення облікових записів. У цій статті буде проаналізовано цю подію зміни плагіна та обговорено, як запобігти та впоратися з подібними ризиками.

Огляд подій

Ця подія спочатку виникла внаслідок розслідування атаки. 24 грудня 2024 року співробітник однієї компанії отримав фішинговий лист, що призвело до того, що їхній випущений браузерний плагін був заражений шкідливим кодом, що намагався вкрасти куки браузера та паролі користувачів. Незалежне розслідування виявило, що у магазині плагінів Google вже існує понад 30 плагінів, які зазнали подібних атак, включаючи Proxy SwitchOmega (V3).

Фішинговий лист стверджує, що браузерне розширення компанії порушує відповідні положення Google і загрожує, що якщо не буде вжито термінових заходів, плагін буде скасовано. Через відчуття терміновості співробітник натиснув на фішинг-посилання в листі та надав доступ до OAuth-додатку під назвою "Privacy Policy Extension". Як тільки зловмисники отримують доступ до OAuth-додатку, вони можуть віддалено контролювати обліковий запис жертви, змінюючи дані додатку без введення пароля.

Після того, як зловмисник отримав контроль над обліковим записом у магазині додатків Chrome, він завантажив нову версію розширення, що містить шкідливий код, і скористався механізмом автоматичного оновлення Chrome, щоб постраждалі користувачі без їх відома автоматично оновилися до шкідливої версії.

Шкідливий плагін містить два файли, з яких файл worker.js підключається до сервера команд і контролю, завантажує конфігурацію та зберігає її в локальному сховищі Chrome, після чого реєструє слухачів для прослуховування подій з content.js. Шкідлива версія протягом 31 години після запуску, браузер Chrome, що виконує це розширення, автоматично завантажить та встановить шкідливий код.

Дослідження вказує на те, що плагіни, які постраждали від атак, мають загальну кількість завантажень у Google Store понад 500 тисяч разів, а чутливі дані з понад 2,6 мільйона пристроїв користувачів були викрадені, що становить величезний ризик для безпеки користувачів. Ці підроблені розширення були доступні в магазині додатків протягом максимум 18 місяців, і постраждалі користувачі майже не могли помітити, що їхні дані були скомпрометовані.

Оскільки стратегія оновлення магазину Chrome поступово не підтримує плагіни версії V2, а офіційний оригінальний плагін SwitchyOmega має версію V2, він також потрапляє під цю непідтримувану категорію. Забруднена шкідлива версія має версію V3, а обліковий запис розробника відрізняється від облікового запису оригінальної версії V2. Тому неможливо підтвердити, чи була ця версія випущена офіційно, і неможливо визначити, чи був обліковий запис офіційного розробника зламаний та завантажив шкідливу версію, чи сам автор версії V3 має злочинні наміри.

Експерти з безпеки рекомендують користувачам перевірити ID встановлених плагінів, щоб підтвердити, чи є вони офіційними версіями. Якщо виявлено, що встановлено плагіни, які підлягають впливу, слід негайно оновити їх до останньої безпечної версії або безпосередньо видалити, щоб зменшити ризики безпеки.

Як запобігти зміні плагіна?

Розширення браузера завжди були слабким місцем в кібербезпеці. Щоб уникнути модифікації плагінів або завантаження шкідливих плагінів, користувачам потрібно подбати про безпеку з трьох аспектів: встановлення, використання та управління.

1. Завантажуйте плагіни тільки з офіційних джерел

   • Використовуйте офіційний магазин Chrome, не довіряйте стороннім посиланням для завантаження в Інтернеті.
   • Уникайте використання неперевірених "п cracked" плагінів, багато модифікованих плагінів можуть містити вбудовані бекдори.

2. Будьте обережні з запитами на дозволи плагінів

   • Обережно надавайте дозволи, деякі плагіни можуть запитувати непотрібні дозволи, такі як доступ до історії переглядів, буфера обміну тощо.
   • При зустрічі з плагіном, що вимагає доступу до чутливої інформації, обов'язково будьте насторожі.

3. Регулярно перевіряйте встановлені плагіни

   • Увійдіть у адресний рядок Chrome chrome://extensions/, щоб переглянути всі встановлені розширення.
   • Слідкуйте за останнім оновленням плагіна; якщо плагін тривалий час не оновлювався, а раптом випущено нову версію, будьте обережні, оскільки він може бути змінений.
   • Регулярно перевіряйте інформацію про розробника плагіна; якщо розробник плагіна змінюється або відбуваються зміни в його дозволах, варто бути обережним.

4. Використовуйте професійні інструменти для моніторингу руху коштів, щоб запобігти втраті активів

   • Якщо ви підозрюєте витік приватного ключа, ви можете використовувати спеціалізовані інструменти для моніторингу транзакцій в мережі, щоб вчасно дізнатися про рух коштів.

Для проекту, як розробник і підтримувач плагінів, слід вжити більш суворих заходів безпеки, щоб запобігти ризикам, таким як зловмисна модифікація, атаки на ланцюг постачання, зловживання OAuth тощо:

1. Контроль доступу OAuth

   • Обмежити обсяг авторизації, моніторити журнали OAuth. Якщо плагін потребує використання OAuth для аутентифікації, намагайтеся використовувати механізм короткочасних токенів + токенів оновлення, уникаючи тривалого зберігання токенів з високими правами.

2. Посилення безпеки облікового запису Chrome Web Store

   • Chrome Web Store є єдиним офіційним каналом розповсюдження плагінів, як тільки обліковий запис розробника буде зламано, зловмисник зможе змінити плагін та надіслати його на всі пристрої користувачів. Тому необхідно посилити безпеку облікового запису, наприклад, увімкнувши 2FA, використовуючи управління мінімальними правами.

3. Регулярний аудит

   • Цілісність коду плагіна є основою захисту проекту від підробок, рекомендується регулярно проводити безпековий аудит.

4. Моніторинг плагінів

   • Проектна команда повинна не лише забезпечити безпеку нової версії, але й здійснювати моніторинг плагіна на предмет його викрадення в реальному часі. У разі виявлення проблем, негайно зняти з продажу шкідливу версію, опублікувати повідомлення про безпеку та сповістити користувачів про необхідність видалення зараженої версії.

Як обробити плагіни, в які вже була вставлена шкідлива код?

Якщо ви виявите, що плагін був заражений шкідливим кодом або підозрюєте, що плагін може нести ризик, рекомендується користувачам вжити такі заходи:

1. Негайно видалити плагін

   • Перейдіть на сторінку управління розширеннями Chrome (chrome://extensions/), знайдіть постраждале розширення та видаліть його.
   • Повністю видалити дані плагіна, щоб запобігти подальшому виконанню залишкового шкідливого коду.

2. Зміна чутливої інформації, яка може бути розкрита

   • Змінити всі збережені паролі в браузері, особливо ті, що стосуються криптовалютних бірж та банківських рахунків.
   • Створення нового гаманця та безпечне переміщення активів (якщо плагін отримав доступ до криптовалюти).
   • Перевірте, чи не було зливу API-ключа, і негайно відкличте старий API-ключ, подайте заявку на новий ключ.

3. Скануйте систему, щоб перевірити наявність бекдорів або шкідливого ПЗ

   • Запустіть антивірусне програмне забезпечення або інструменти для боротьби з шкідливим програмним забезпеченням.
   • Перевірте файл Hosts, щоб переконатися, що він не був змінений на зловмисні адреси серверів.
   • Перевірте налаштування за замовчуванням для пошукової системи та домашньої сторінки у браузері, деякі шкідливі плагіни можуть змінювати ці налаштування.

4. Моніторинг облікового запису на наявність аномальної активності

   • Перевірте історію входу до біржі та банківського рахунку. Якщо виявите підозрілий вхід з IP-адреси, необхідно терміново змінити пароль та активувати двофакторну аутентифікацію.
   • Перевірте історію транзакцій криптогаманця, щоб підтвердити, чи є аномальні перекази.
   • Перевірте, чи не було викрадено облікові записи в соціальних мережах. Якщо є підозрілі приватні повідомлення або публікації, терміново змініть пароль.

5. Надати зворотний зв'язок офіційним особам, щоб запобігти подальшій шкоді користувачам

   • Якщо ви виявили, що плагін був змінений, ви можете зв'язатися з оригінальною командою розробників або повідомити про це офіційний Chrome.
   • Можна зв'язатися з командою безпеки, опублікувати попередження про ризики, щоб більше користувачів звернули увагу на безпеку.

Хоча розширення браузера можуть покращити досвід користувача, вони також можуть стати вразливістю для атак хакерів, що призводить до ризику витоку даних і втрати активів. Тому користувачам, насолоджуючись зручністю, також потрібно залишатися насторожі та розвивати хороші звички безпеки, такі як обережна установка та управління розширеннями, регулярна перевірка дозволів, своєчасне оновлення або видалення підозрілих розширень тощо. Тим часом розробники та платформи також повинні посилити заходи безпеки, щоб забезпечити безпеку та відповідність розширень. Лише спільні зусилля користувачів, розробників і платформ, спрямовані на підвищення обізнаності про безпеку та реалізацію ефективних заходів захисту, можуть дійсно зменшити ризики та забезпечити безпеку даних і активів.