Известный плагин Chrome SwitchyOmega имеет уязвимости безопасности, как предотвратить модификацию плагина?
Недавно пользователи сообщили, что популярное расширение для переключения прокси-серверов в Chrome SwitchyOmega может представлять риск кражи приватных ключей. В ходе расследования выяснилось, что эта проблема возникла еще в прошлом году, но некоторые пользователи, возможно, не обратили внимания на предупреждение и продолжили использовать зараженную версию расширения, подвергаясь серьезной угрозе утечки приватных ключей и захвата аккаунтов. В этой статье будет проанализирован случай с подменой расширения и обсуждены способы предотвращения и реагирования на подобные риски.
Обзор событий
Это событие изначально связано с расследованием атаки. 24 декабря 2024 года сотрудник компании получил фишинговое письмо, что привело к внедрению вредоносного кода в выпущенное ими расширение для браузера, пытающегося украсть куки и пароли пользователей браузера. Независимое расследование показало, что более 30 расширений в магазине расширений Google уже подверглись аналогичным атакам, включая Proxy SwitchOmega (V3).
Фишинговое письмо утверждало, что браузерное расширение компании нарушает соответствующие правила Google, и угрожало, что если немедленно не предпринять действия, плагин будет удален. Из-за чувства срочности сотрудник кликнул на фишинговую ссылку в письме и авторизовал OAuth-приложение под названием "Privacy Policy Extension". Как только злоумышленник получил доступ к OAuth-приложению, он может удаленно управлять аккаунтом жертвы и изменять данные приложения без пароля.
После того как злоумышленники получили контроль над аккаунтом в Chrome Web Store, они загрузили новую версию расширения с вредоносным кодом и использовали механизм автоматического обновления Chrome, чтобы пострадавшие пользователи автоматически обновились до вредоносной версии, не подозревая об этом.
Вредоносный плагин содержит два файла, один из которых worker.js, который соединяется с сервером команд и управления, загружает конфигурацию и сохраняет её в локальном хранилище Chrome, затем регистрирует слушателей для отслеживания событий из content.js. Вредоносная версия в течение 31 часа после выхода автоматически загружает и устанавливает вредоносный код в браузерах Chrome, использующих этот расширение.
В отчете говорится, что количество загрузок этих уязвимых плагинов в магазине Google превышает 500 000, и более 2,6 миллиона устройств пользователей подверглись краже конфиденциальных данных, что представляет собой огромный риск для безопасности пользователей. Эти модифицированные расширения находились в магазине приложений до 18 месяцев, и жертвы почти не могли заметить, что их данные были скомпрометированы.
Из-за обновления политики магазина Chrome, который постепенно перестает поддерживать плагины версии V2, оригинальный плагин SwitchyOmega, будучи версией V2, также попадает под категорию неподдерживаемых. Загрязненная злонамеренная версия является версией V3, и аккаунт разработчика отличается от аккаунта оригинальной версии V2. Поэтому невозможно подтвердить, была ли эта версия выпущена официально, и нельзя определить, была ли аккаунт официального разработчика взломан и загружена злонамеренная версия, или же у автора версии V3 изначально были злонамеренные намерения.
Эксперты по безопасности рекомендуют пользователям проверить ID установленных плагинов, чтобы подтвердить, являются ли они официальными версиями. Если обнаружены установленные уязвимые плагины, их следует немедленно обновить до последней безопасной версии или удалить, чтобы снизить риски безопасности.
Как предотвратить изменение плагина?
Расширения браузера всегда были слабым звеном в кибербезопасности. Чтобы избежать подмены плагинов или загрузки вредоносных плагинов, пользователи должны обеспечить безопасность с трех сторон: установки, использования и управления.
Загружайте плагины только из официальных источников.
Предпочитайте использовать официальный магазин Chrome, не доверяйте сторонним ссылкам для загрузки в интернете.
Избегайте использования непроверенных "взломанных" плагинов, многие модифицированные плагины могут содержать скрытые задние двери.
Будьте осторожны с запросами прав от плагинов
Осторожно предоставляйте разрешения, некоторые плагины могут запрашивать ненужные разрешения, такие как доступ к истории просмотров, буферу обмена и т.д.
При возникновении запроса плагина на чтение конфиденциальной информации обязательно проявляйте бдительность.
Регулярно проверяйте установленные плагины
Введите chrome://extensions/ в адресной строке Chrome, чтобы просмотреть все установленные расширения.
Обратите внимание на дату последнего обновления плагина. Если плагин долгое время не обновлялся, а затем внезапно выпущена новая версия, стоит насторожиться, так как возможно он был изменен.
Регулярно проверяйте информацию о разработчике плагина. Если разработчик плагина изменился или произошли изменения в правах, будьте настороже.
Используйте профессиональные инструменты для мониторинга потока средств, чтобы предотвратить потерю активов
Если вы подозреваете утечку приватного ключа, вы можете использовать профессиональные инструменты для мониторинга транзакций в блокчейне, чтобы своевременно узнать о движении средств.
Для команды проекта, как разработчики и поддерживающие плагины, следует принимать более строгие меры безопасности, чтобы предотвратить риски, такие как злонамеренные изменения, атаки на цепочку поставок, злоупотребление OAuth и другие.
Контроль доступа OAuth
Ограничьте область авторизации, отслеживайте журналы OAuth. Если плагин должен использовать OAuth для аутентификации, старайтесь использовать механизм краткосрочных токенов + токенов обновления, избегая долгосрочного хранения токенов с высокими привилегиями.
Увеличение безопасности аккаунта в Chrome Web Store
Chrome Web Store является единственным официальным каналом выпуска плагинов. Как только учетная запись разработчика будет взломана, злоумышленник сможет изменить плагин и отправить его на все устройства пользователей. Поэтому необходимо повысить безопасность учетной записи, например, включив 2FA и используя управление минимальными правами.
Регулярный аудит
Целостность кода плагина является основным аспектом защиты от подделки для проекта, рекомендуется периодически проводить аудит безопасности.
Мониторинг плагинов
Проектная команда должна не только обеспечить безопасность новой версии, но и в режиме реального времени отслеживать, не был ли взломан плагин. Если возникнут проблемы, необходимо немедленно убрать вредоносную версию, выпустить безопасное уведомление и уведомить пользователей о необходимости удалить зараженную версию.
Как обработать плагины, в которые был внедрен вредоносный код?
Если вы обнаружите, что плагин был заражен вредоносным кодом или подозреваете, что плагин может представлять риск, рекомендуется, чтобы пользователи предприняли следующие меры:
Удалить плагин немедленно
Перейдите на страницу управления расширениями Chrome (chrome://extensions/), найдите затронутое расширение и удалите его.
Полностью удалите данные плагина, чтобы предотвратить дальнейшее выполнение остаточных вредоносных кодов.
Измените потенциально утечку конфиденциальной информации
Замените все сохраненные пароли браузера, особенно пароли, связанные с криптовалютными биржами и банковскими счетами.
Создайте новый кошелек и безопасно переместите активы (если плагин получил доступ к криптокошельку).
Проверьте, не был ли скомпрометирован API-ключ, и немедленно аннулируйте старый API-ключ, запросите новый.
Сканируйте систему, чтобы проверить наличие задних дверей или вредоносного ПО
Запустите антивирусное или антималварное программное обеспечение.
Проверьте файл Hosts, чтобы убедиться, что он не был изменен на адреса вредоносных серверов.
Проверьте настройки поисковой системы и домашней страницы по умолчанию в браузере, некоторые вредоносные плагины могут изменять эти настройки.
Мониторинг аккаунта на предмет аномальной активности
Проверьте историю входа на биржу и банковский счет, если обнаружите вход с необычного IP, необходимо немедленно сменить пароль и включить 2FA.
Проверьте историю транзакций криптокошелька, чтобы убедиться, что нет подозрительных переводов.
Проверьте, не были ли взломаны ваши социальные медиа-аккаунты; если есть подозрительные личные сообщения или посты, немедленно измените пароль.
Обратная связь с официальными, чтобы предотвратить дальнейшие жертвы среди пользователей
Если вы обнаружите, что плагин был изменен, вы можете связаться с оригинальной командой разработчиков или сообщить об этом в официальную службу Chrome.
Вы можете связаться с командой безопасности, чтобы выпустить предупреждение о рисках и напомнить большему числу пользователей о безопасности.
Хотя браузерные плагины могут улучшить пользовательский опыт, они также могут стать уязвимой точкой для хакерских атак, что приводит к риску утечки данных и потери активов. Поэтому пользователи, наслаждаясь удобством, также должны сохранять бдительность и развивать хорошие привычки безопасности, такие как осторожная установка и управление плагинами, регулярная проверка разрешений, своевременное обновление или удаление подозрительных плагинов и т. д. В то же время разработчики и платформы также должны усиливать меры безопасности, чтобы обеспечить безопасность и соответствие плагинов. Только совместными усилиями пользователей, разработчиков и платформ можно повысить осведомленность о безопасности и внедрить эффективные меры защиты, чтобы действительно снизить риски и обеспечить безопасность данных и активов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
5
Поделиться
комментарий
0/400
CoffeeNFTrader
· 07-15 14:39
Утром я сразу испугался этого, быстро снял, руки дрожат.
Посмотреть ОригиналОтветить0
ApeWithNoChain
· 07-15 12:56
Истинный дьявол в деталях, нельзя быть неосторожным.
Посмотреть ОригиналОтветить0
MagicBean
· 07-12 16:42
Боже мой, даже плагины могут попасть в беду??
Посмотреть ОригиналОтветить0
SerumDegen
· 07-12 16:40
потерял 12к из-за взлома расширения для Chrome, смх
Посмотреть ОригиналОтветить0
ArbitrageBot
· 07-12 16:32
Да что за фигня, магазин Google стал ненадежным! Удаляю, удаляю, удаляю!
Расширение Chrome SwitchyOmega несет в себе риски безопасности. Как предотвратить риск изменения?
Известный плагин Chrome SwitchyOmega имеет уязвимости безопасности, как предотвратить модификацию плагина?
Недавно пользователи сообщили, что популярное расширение для переключения прокси-серверов в Chrome SwitchyOmega может представлять риск кражи приватных ключей. В ходе расследования выяснилось, что эта проблема возникла еще в прошлом году, но некоторые пользователи, возможно, не обратили внимания на предупреждение и продолжили использовать зараженную версию расширения, подвергаясь серьезной угрозе утечки приватных ключей и захвата аккаунтов. В этой статье будет проанализирован случай с подменой расширения и обсуждены способы предотвращения и реагирования на подобные риски.
Обзор событий
Это событие изначально связано с расследованием атаки. 24 декабря 2024 года сотрудник компании получил фишинговое письмо, что привело к внедрению вредоносного кода в выпущенное ими расширение для браузера, пытающегося украсть куки и пароли пользователей браузера. Независимое расследование показало, что более 30 расширений в магазине расширений Google уже подверглись аналогичным атакам, включая Proxy SwitchOmega (V3).
Фишинговое письмо утверждало, что браузерное расширение компании нарушает соответствующие правила Google, и угрожало, что если немедленно не предпринять действия, плагин будет удален. Из-за чувства срочности сотрудник кликнул на фишинговую ссылку в письме и авторизовал OAuth-приложение под названием "Privacy Policy Extension". Как только злоумышленник получил доступ к OAuth-приложению, он может удаленно управлять аккаунтом жертвы и изменять данные приложения без пароля.
После того как злоумышленники получили контроль над аккаунтом в Chrome Web Store, они загрузили новую версию расширения с вредоносным кодом и использовали механизм автоматического обновления Chrome, чтобы пострадавшие пользователи автоматически обновились до вредоносной версии, не подозревая об этом.
Вредоносный плагин содержит два файла, один из которых worker.js, который соединяется с сервером команд и управления, загружает конфигурацию и сохраняет её в локальном хранилище Chrome, затем регистрирует слушателей для отслеживания событий из content.js. Вредоносная версия в течение 31 часа после выхода автоматически загружает и устанавливает вредоносный код в браузерах Chrome, использующих этот расширение.
В отчете говорится, что количество загрузок этих уязвимых плагинов в магазине Google превышает 500 000, и более 2,6 миллиона устройств пользователей подверглись краже конфиденциальных данных, что представляет собой огромный риск для безопасности пользователей. Эти модифицированные расширения находились в магазине приложений до 18 месяцев, и жертвы почти не могли заметить, что их данные были скомпрометированы.
Из-за обновления политики магазина Chrome, который постепенно перестает поддерживать плагины версии V2, оригинальный плагин SwitchyOmega, будучи версией V2, также попадает под категорию неподдерживаемых. Загрязненная злонамеренная версия является версией V3, и аккаунт разработчика отличается от аккаунта оригинальной версии V2. Поэтому невозможно подтвердить, была ли эта версия выпущена официально, и нельзя определить, была ли аккаунт официального разработчика взломан и загружена злонамеренная версия, или же у автора версии V3 изначально были злонамеренные намерения.
Эксперты по безопасности рекомендуют пользователям проверить ID установленных плагинов, чтобы подтвердить, являются ли они официальными версиями. Если обнаружены установленные уязвимые плагины, их следует немедленно обновить до последней безопасной версии или удалить, чтобы снизить риски безопасности.
Как предотвратить изменение плагина?
Расширения браузера всегда были слабым звеном в кибербезопасности. Чтобы избежать подмены плагинов или загрузки вредоносных плагинов, пользователи должны обеспечить безопасность с трех сторон: установки, использования и управления.
Загружайте плагины только из официальных источников.
Будьте осторожны с запросами прав от плагинов
Регулярно проверяйте установленные плагины
Используйте профессиональные инструменты для мониторинга потока средств, чтобы предотвратить потерю активов
Для команды проекта, как разработчики и поддерживающие плагины, следует принимать более строгие меры безопасности, чтобы предотвратить риски, такие как злонамеренные изменения, атаки на цепочку поставок, злоупотребление OAuth и другие.
Контроль доступа OAuth
Увеличение безопасности аккаунта в Chrome Web Store
Регулярный аудит Целостность кода плагина является основным аспектом защиты от подделки для проекта, рекомендуется периодически проводить аудит безопасности.
Мониторинг плагинов
Как обработать плагины, в которые был внедрен вредоносный код?
Если вы обнаружите, что плагин был заражен вредоносным кодом или подозреваете, что плагин может представлять риск, рекомендуется, чтобы пользователи предприняли следующие меры:
Удалить плагин немедленно
Измените потенциально утечку конфиденциальной информации
Сканируйте систему, чтобы проверить наличие задних дверей или вредоносного ПО
Мониторинг аккаунта на предмет аномальной активности
Обратная связь с официальными, чтобы предотвратить дальнейшие жертвы среди пользователей
Хотя браузерные плагины могут улучшить пользовательский опыт, они также могут стать уязвимой точкой для хакерских атак, что приводит к риску утечки данных и потери активов. Поэтому пользователи, наслаждаясь удобством, также должны сохранять бдительность и развивать хорошие привычки безопасности, такие как осторожная установка и управление плагинами, регулярная проверка разрешений, своевременное обновление или удаление подозрительных плагинов и т. д. В то же время разработчики и платформы также должны усиливать меры безопасности, чтобы обеспечить безопасность и соответствие плагинов. Только совместными усилиями пользователей, разработчиков и платформ можно повысить осведомленность о безопасности и внедрить эффективные меры защиты, чтобы действительно снизить риски и обеспечить безопасность данных и активов.