Incidente de seguridad del complemento de Google: SwitchyOmega acusado de robar Llave privada, discusión sobre estrategias de prevención de seguridad del complemento

Recientemente, algunos usuarios han informado que el conocido complemento de cambio de proxy SwitchyOmega podría presentar un riesgo de robo de llaves privadas. Tras una investigación, se descubrió que esta vulnerabilidad de seguridad ya había surgido el año pasado, pero algunos usuarios pueden no haber prestado atención a las advertencias relacionadas y continuaron utilizando la versión afectada del complemento, enfrentando así amenazas graves como el secuestro de cuentas. Este artículo analizará en profundidad la situación de la manipulación de este complemento y explorará cómo prevenir la manipulación de complementos y cómo hacer frente a complementos maliciosos.

Revisión de eventos

Este incidente se originó inicialmente en una investigación de ataque del 24 de diciembre de 2024. Un empleado de una empresa recibió un correo electrónico de phishing, lo que llevó a que el complemento del navegador que publicó fuera inyectado con código malicioso, intentando robar las cookies y contraseñas del navegador de los usuarios. La investigación independiente mostró que más de 30 complementos en la tienda de complementos de Google ya habían sufrido ataques similares, incluyendo Proxy SwitchOmega (V3).

Un atacante obtuvo el control de la cuenta de la tienda de aplicaciones de Chrome de una empresa a través de un correo electrónico de phishing, y luego subió una nueva versión de la extensión que contenía código malicioso. Aprovechando el mecanismo de actualización automática de Chrome, los usuarios afectados actualizaron a la versión maliciosa sin saberlo.

El informe de investigación señala que los complementos afectados por los ataques han superado las 500,000 descargas acumulativas en la tienda de Google, y se han robado datos sensibles de más de 2.6 millones de dispositivos de usuarios, lo que representa un gran riesgo de seguridad para los usuarios. Estas extensiones alteradas estuvieron disponibles en la tienda de aplicaciones durante un máximo de 18 meses, y los usuarios afectados apenas pudieron darse cuenta de que sus datos habían sido filtrados durante ese tiempo.

Debido a la política de actualizaciones de la tienda Chrome que gradualmente no admite complementos de versión V2, y dado que el complemento oficial original SwitchyOmega es de versión V2, también está dentro del rango de no admitidos. La versión maliciosa contaminada es de versión V3, y la cuenta del desarrollador es diferente a la cuenta de la versión original V2. Por lo tanto, no se puede confirmar si esta versión fue publicada por el oficial, ni se puede determinar si la cuenta oficial fue hackeada y se subió una versión maliciosa, o si el autor de la versión V3 ya tenía intenciones maliciosas por sí mismo.

Los expertos en seguridad aconsejan a los usuarios que verifiquen la ID de los complementos instalados para confirmar si son versiones oficiales. Si se descubre que se han instalado complementos afectados, se debe actualizar de inmediato a la última versión de seguridad o eliminarlos directamente para reducir el riesgo de seguridad.

¿Cómo prevenir la alteración de plugins?

Las extensiones de navegador siempre han sido un eslabón débil en la seguridad en línea. Para evitar que los complementos sean alterados o que se descarguen complementos maliciosos, los usuarios deben tomar medidas de seguridad en tres aspectos: instalación, uso y gestión.

1. Solo descarga complementos desde canales oficiales

   • Prefiera usar la tienda oficial de Chrome, no confíe en los enlaces de descarga de terceros en línea.
   • Evita usar plugins "hackeados" no verificados, muchos plugins modificados pueden haber sido infiltrados con puertas traseras.

2. Esté atento a las solicitudes de permisos de los complementos

   • Conceda permisos con precaución, algunos complementos pueden solicitar permisos innecesarios, como el acceso al historial de navegación, al portapapeles, etc.
   • Al encontrar un complemento que solicita leer información sensible, asegúrate de estar alerta.

3. Revisar periódicamente los complementos instalados

   • En la barra de direcciones de Chrome, ingresa chrome://extensions/ para ver todas las extensiones instaladas.
   • Presta atención a la última fecha de actualización del complemento; si el complemento no se ha actualizado durante mucho tiempo pero de repente se publica una nueva versión, debes estar alerta ante la posibilidad de que haya sido alterado.
   • Realiza revisiones periódicas de la información del desarrollador del complemento; si el complemento cambia de desarrollador o si hay cambios en los permisos, mantén la vigilancia.

4. Utilizar herramientas de monitoreo de flujo de fondos

   • Si sospechas que la Llave privada ha sido filtrada, puedes utilizar herramientas profesionales para monitorear las transacciones en la cadena y conocer a tiempo el flujo de fondos.

Para el equipo del proyecto, como desarrolladores y mantenedores del plugin, se deben adoptar medidas de seguridad más estrictas para prevenir riesgos como la manipulación maliciosa, ataques a la cadena de suministro, abuso de OAuth, entre otros:

1. Control de acceso OAuth

   • Restringir el ámbito de autorización, monitorear los registros de OAuth. Si el complemento necesita usar OAuth para la autenticación, intente utilizar un mecanismo de token de corta duración + token de actualización, evitando el almacenamiento prolongado de tokens de alta capacidad.

2. Mejorar la seguridad de la cuenta de Chrome Web Store

   • La tienda web de Chrome es el único canal oficial de distribución de extensiones. Una vez que la cuenta del desarrollador es comprometida, el atacante puede modificar la extensión y enviarla a todos los dispositivos de los usuarios. Por lo tanto, es necesario mejorar la seguridad de la cuenta, como habilitar la 2FA y utilizar la gestión de permisos mínimos.

3. Auditoría periódica

   • La integridad del código del complemento es el núcleo de la prevención de alteraciones por parte del proyecto, se recomienda realizar auditorías de seguridad de manera regular.

4. Monitoreo de complementos

   • El equipo del proyecto no solo debe asegurarse de que la nueva versión publicada sea segura, sino que también necesita monitorear en tiempo real si el complemento ha sido secuestrado. Si se detecta un problema, deben retirar la versión maliciosa de inmediato, publicar un anuncio de seguridad y notificar a los usuarios para que desinstalen la versión afectada.

¿Cómo manejar los plugins que han sido infectados con código malicioso?

Si se descubre que el complemento ha sido infectado por código malicioso, o si se sospecha que el complemento puede representar un riesgo, se recomienda a los usuarios que tomen las siguientes medidas:

1. Eliminar el complemento de inmediato

   • Ingresa a la página de gestión de extensiones de Chrome, encuentra el complemento afectado y elimínalo.
   • Eliminar completamente los datos del complemento para evitar que el código malicioso residual siga ejecutándose.

2. Cambiar la información sensible que podría ser filtrada

   • Cambiar todas las contraseñas guardadas en el navegador, especialmente las que están relacionadas con los intercambios de criptomonedas y las cuentas bancarias.
   • Crear una nueva billetera y transferir activos de forma segura (si el complemento accedió a la billetera de criptomonedas).
   • Verifique si la clave API ha sido filtrada y revoque inmediatamente la clave API antigua, solicitando una nueva clave.

3. Escanear el sistema, verificar si hay puertas traseras o malware.

   • Ejecutar software antivirus o herramientas antimalware.
   • Verifica el archivo Hosts para asegurarte de que no ha sido modificado a direcciones de servidores maliciosos.
   • Ver el motor de búsqueda y la página de inicio predeterminados del navegador, algunos complementos maliciosos pueden alterar estas configuraciones.

4. Monitorear si la cuenta tiene actividades anormales

   • Verifica el historial de inicio de sesión de los intercambios y cuentas bancarias; si encuentras inicios de sesión desde IPs sospechosas, debes cambiar la contraseña de inmediato y activar la 2FA.
   • Verifica el historial de transacciones de la billetera de criptomonedas para confirmar si hay transferencias anormales.
   • Verifica si tus cuentas de redes sociales han sido comprometidas; si hay mensajes o publicaciones sospechosas, cambia tu contraseña de inmediato.

5. Retroalimentación a la oficial, para prevenir que más usuarios sean víctimas

   • Si se descubre que el complemento ha sido alterado, se puede contactar al equipo de desarrollo original o reportarlo a las autoridades de Chrome.
   • Se puede contactar al equipo de seguridad para emitir alertas de riesgo y recordar a más usuarios que presten atención a la seguridad.

Aunque los complementos del navegador pueden mejorar la experiencia del usuario, también pueden convertirse en un punto de entrada para ataques de hackers, lo que conlleva riesgos de filtración de datos y pérdida de activos. Por lo tanto, los usuarios, mientras disfrutan de la conveniencia, también deben mantenerse alerta y desarrollar buenos hábitos de seguridad, como instalar y gestionar complementos con precaución, revisar permisos regularmente y actualizar o eliminar complementos sospechosos de manera oportuna. Al mismo tiempo, los desarrolladores y las plataformas también deben reforzar las medidas de protección de seguridad para garantizar la seguridad y la conformidad de los complementos. Solo con el esfuerzo conjunto de usuarios, desarrolladores y plataformas, elevando la conciencia de seguridad y aplicando medidas de protección efectivas, se puede realmente reducir el riesgo y garantizar la seguridad de los datos y activos.