Événement de sécurité des plugins Google : SwitchyOmega accusé de voler des clés privées, discussion sur les stratégies de prévention de la sécurité des plugins

Récemment, certains utilisateurs ont signalé que le célèbre plugin de changement de proxy SwitchyOmega pourrait comporter des risques de vol de clé privée. Après enquête, il a été constaté que cette vulnérabilité de sécurité était déjà apparue l'année dernière, mais certains utilisateurs n'avaient peut-être pas remarqué les avertissements connexes et continuaient d'utiliser la version affectée du plugin, s'exposant ainsi à des menaces graves telles que le détournement de compte. Cet article analysera en profondeur la situation de la modification de ce plugin et discutera de la manière de prévenir les modifications de plugins et de faire face aux plugins malveillants.

Revue des événements

Cet incident trouve son origine dans une enquête sur une attaque survenue le 24 décembre 2024. Un employé d'une certaine entreprise a reçu un e-mail de phishing, ce qui a conduit à l'injection de code malveillant dans l'extension de navigateur qu'il avait publiée, tentant de voler les cookies et mots de passe des utilisateurs. Une enquête indépendante a révélé que plus de 30 extensions dans le magasin d'extensions de Google avaient subi des attaques similaires, y compris Proxy SwitchOmega (V3).

Un attaquant a obtenu le contrôle du compte Chrome Web Store d'une certaine entreprise par le biais d'un e-mail de phishing, puis a téléchargé une nouvelle version de l'extension contenant du code malveillant. En utilisant le mécanisme de mise à jour automatique de Chrome, les utilisateurs affectés ont mis à jour vers la version malveillante sans le savoir.

Le rapport d'enquête indique que ces plugins affectés par des attaques ont été téléchargés plus de 500 000 fois sur le Google Store, et que des données sensibles de plus de 2,6 millions d'appareils utilisateurs ont été volées, représentant un risque de sécurité majeur pour les utilisateurs. Ces extensions altérées ont été disponibles dans la boutique d'applications pendant jusqu'à 18 mois, et les utilisateurs victimes n'ont presque pas pu se rendre compte que leurs données avaient été compromises pendant cette période.

En raison de la stratégie de mise à jour du Chrome Web Store qui ne prend progressivement plus en charge les extensions de version V2, et comme l'extension officielle SwitchyOmega est de version V2, elle tombe également dans la catégorie des non prises en charge. La version malveillante contaminée est de version V3, et le compte de développeur de celle-ci est différent de celui de la version originale V2. Par conséquent, il est impossible de confirmer si cette version a été publiée par l'officiel, et il est également impossible de déterminer si le compte officiel a été piraté pour télécharger cette version malveillante, ou si l'auteur de la version V3 avait déjà un comportement malveillant.

Les experts en sécurité recommandent aux utilisateurs de vérifier l'ID des plugins installés pour confirmer s'ils sont des versions officielles. Si des plugins affectés sont trouvés, ils doivent être mis à jour vers la dernière version de sécurité, ou supprimés directement pour réduire les risques de sécurité.

Comment prévenir la falsification des plugins ?

Les extensions de navigateur ont toujours été un maillon faible de la sécurité en ligne. Pour éviter que les plugins ne soient altérés ou téléchargés avec des plugins malveillants, les utilisateurs doivent assurer la protection de la sécurité dans trois domaines : l'installation, l'utilisation et la gestion.

1. Téléchargez les plugins uniquement à partir de canaux officiels.

   • Préférez utiliser le magasin officiel Chrome, ne faites pas confiance aux liens de téléchargement tiers trouvés en ligne.
   • Évitez d'utiliser des plugins "crackés" non vérifiés, de nombreux plugins modifiés peuvent avoir été implantés avec des portes dérobées.

2. Soyez vigilant à l'égard des demandes de permissions des plugins

   • Accordez les autorisations avec prudence, certains plugins peuvent demander des autorisations inutiles, comme l'accès à l'historique de navigation, au presse-papiers, etc.
   • En cas de demande de plugin pour lire des informations sensibles, veillez à rester vigilant.

3. Vérifiez régulièrement les plugins installés

   • Dans la barre d'adresse Chrome, entrez chrome://extensions/ pour voir toutes les extensions installées.
   • Faites attention à la dernière date de mise à jour du plugin. Si le plugin n'a pas été mis à jour depuis longtemps mais qu'une nouvelle version est soudainement publiée, soyez vigilant quant à la possibilité qu'il ait été altéré.
   • Vérifiez régulièrement les informations sur le développeur du plugin. Si le développeur du plugin change ou si les permissions évoluent, il faut rester vigilant.

4. Utiliser des outils de surveillance des flux de fonds

   • Si vous soupçonnez une fuite de la clé privée, vous pouvez utiliser des outils professionnels pour surveiller les transactions sur la blockchain et connaître rapidement le flux des fonds.

Pour les équipes de projet, en tant que développeurs et mainteneurs de plugins, des mesures de sécurité plus strictes devraient être prises pour prévenir les risques tels que la manipulation malveillante, les attaques par chaîne d'approvisionnement, et l'abus d'OAuth :

1. Contrôle d'accès OAuth

   • Limiter la portée des autorisations, surveiller les journaux OAuth, si le plugin nécessite l'utilisation d'OAuth pour l'authentification, essayer d'utiliser un mécanisme de jetons temporaires + jetons de rafraîchissement, éviter de stocker à long terme des jetons à haute autorité.

2. Renforcer la sécurité du compte Chrome Web Store

   • Le Chrome Web Store est le seul canal de publication officiel pour les extensions. Une fois qu'un compte développeur est compromis, l'attaquant peut modifier l'extension et la pousser sur tous les appareils des utilisateurs. Par conséquent, il est nécessaire de renforcer la sécurité du compte, par exemple en activant l'authentification à deux facteurs (2FA) et en utilisant la gestion des permissions minimales.

3. Audit périodique

   • L'intégrité du code des plugins est essentielle pour la protection contre la falsification par l'équipe du projet, il est recommandé d'effectuer des audits de sécurité régulièrement.

4. Surveillance des plugins

   • L'équipe du projet doit non seulement s'assurer que la nouvelle version publiée est sécurisée, mais aussi surveiller en temps réel si le plugin a été détourné. En cas de problème, il faut retirer immédiatement la version malveillante, publier un avis de sécurité et informer les utilisateurs de désinstaller la version infectée.

Comment traiter un plugin infecté par du code malveillant ?

Si vous découvrez que le plugin a été infecté par un code malveillant, ou si vous soupçonnez que le plugin pourrait présenter un risque, il est conseillé aux utilisateurs de prendre les mesures suivantes :

1. Supprimer immédiatement le plugin

   • Accédez à la page de gestion des extensions Chrome, trouvez l'extension affectée et supprimez-la.
   • Supprimer complètement les données du plugin pour empêcher le code malveillant résiduel de continuer à s'exécuter.

2. Modifier les informations sensibles susceptibles d'être divulguées

   • Remplacez tous les mots de passe enregistrés de votre navigateur, en particulier ceux liés aux échanges de cryptomonnaies et aux comptes bancaires.
   • Créer un nouveau portefeuille et transférer des actifs en toute sécurité (si le plugin a accédé au portefeuille crypto).
   • Vérifiez si la clé API a été divulguée, révoquez immédiatement l'ancienne clé API et demandez une nouvelle clé.

3. Scanner le système, vérifier s'il y a des portes dérobées ou des logiciels malveillants

   • Exécutez un logiciel antivirus ou un outil anti-malware.
   • Vérifiez le fichier Hosts pour vous assurer qu'il n'a pas été modifié pour des adresses de serveur malveillantes.
   • Vérifiez le moteur de recherche par défaut et la page d'accueil de votre navigateur, certains plugins malveillants peuvent modifier ces paramètres.

4. Surveiller si le compte présente des activités anormales

   • Vérifiez l'historique de connexion de l'échange et du compte bancaire. Si vous détectez une connexion avec une adresse IP anormale, changez immédiatement votre mot de passe et activez la 2FA.
   • Vérifiez les relevés de transactions du portefeuille cryptographique pour confirmer s'il y a des transferts anormaux.
   • Vérifiez si vos comptes de réseaux sociaux ont été piratés. Si vous remarquez des messages ou des publications suspects, changez immédiatement votre mot de passe.

5. Retourner aux autorités officielles pour prévenir d'autres utilisateurs d'être victimes.

   • Si vous découvrez que le plugin a été modifié, vous pouvez contacter l'équipe de développement d'origine ou signaler à Chrome.
   • Vous pouvez contacter l'équipe de sécurité, publier des alertes de risque et rappeler à plus d'utilisateurs de faire attention à la sécurité.

Bien que les extensions de navigateur puissent améliorer l'expérience utilisateur, elles peuvent également devenir des points d'entrée pour les attaques de hackers, entraînant des risques de fuite de données et de perte d'actifs. Par conséquent, les utilisateurs, tout en profitant de la commodité, doivent également rester vigilants et adopter de bonnes habitudes de sécurité, comme installer et gérer prudemment les extensions, vérifier régulièrement les autorisations et mettre à jour ou supprimer rapidement les extensions suspectes, etc. Dans le même temps, les développeurs et les plateformes doivent également renforcer les mesures de protection sécuritaire pour garantir la sécurité et la conformité des extensions. Ce n'est qu'en unissant les efforts des utilisateurs, des développeurs et des plateformes pour accroître la sensibilisation à la sécurité et mettre en œuvre des mesures de protection efficaces que l'on pourra véritablement réduire les risques et garantir la sécurité des données et des actifs.