Incidente de segurança do plugin do Google: SwitchyOmega acusado de roubar Chave privada, discussão sobre estratégias de prevenção de segurança do plugin
Recentemente, alguns usuários relataram que o conhecido plugin de troca de proxy SwitchyOmega pode apresentar risco de roubo de Chave privada. Após investigação, descobrimos que essa vulnerabilidade de segurança já existia desde o ano passado, mas alguns usuários podem não ter notado os avisos relacionados, continuando a usar versões afetadas do plugin, enfrentando assim sérias ameaças, como o sequestro de contas. Este artigo irá analisar em profundidade a situação da modificação deste plugin e discutir como prevenir a modificação de plugins e responder a plugins maliciosos.
Revisão do evento
Este incidente teve origem numa investigação de ataque realizada em 24 de dezembro de 2024. Um funcionário de uma determinada empresa recebeu um e-mail de phishing, o que levou à injeção de código malicioso no plugin de navegador que ele publicou, tentando roubar os cookies do navegador e as senhas dos usuários. A investigação independente revelou que mais de 30 plugins na loja de plugins do Google já haviam sofrido ataques semelhantes, incluindo o Proxy SwitchOmega (V3).
Os atacantes conseguiram o controle da conta da loja de aplicativos Chrome de uma empresa através de e-mails de phishing e, em seguida, carregaram uma nova versão da extensão contendo código malicioso. Aproveitando o mecanismo de atualização automática do Chrome, os usuários afetados atualizaram para a versão maliciosa sem saber.
O relatório de investigação indica que os plugins afetados pelos ataques tiveram mais de 500.000 downloads acumulados na loja do Google, com mais de 2,6 milhões de dados sensíveis de dispositivos de usuários sendo roubados, o que representa um grande risco de segurança para os usuários. Essas extensões adulteradas estiveram disponíveis na loja de aplicativos por até 18 meses, e os usuários vítimas praticamente não conseguiram perceber que seus dados haviam sido vazados durante esse período.
Devido à estratégia de atualização da loja Chrome que gradualmente não suporta plugins da versão V2, e como o plugin original SwitchyOmega é da versão V2, ele também está dentro da gama de não suportados. A versão maliciosa contaminada é da versão V3, e a conta do desenvolvedor é diferente da conta do plugin original V2. Portanto, não é possível confirmar se essa versão foi publicada oficialmente, nem determinar se a conta oficial foi hackeada e a versão maliciosa foi carregada, ou se o autor da versão V3 já tinha comportamentos maliciosos.
Especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente para reduzir o risco de segurança.
Como prevenir a alteração de plugins?
As extensões de navegador sempre foram um ponto fraco na segurança da web. Para evitar que os plugins sejam alterados ou que plugins maliciosos sejam descarregados, os usuários precisam garantir a segurança em três aspectos: instalação, uso e gestão.
Faça o download do plugin apenas de canais oficiais
Priorize o uso da loja oficial Chrome, não confie em links de download de terceiros encontrados na internet.
Evite usar plugins "crackeados" não verificados, muitos plugins modificados podem ter backdoors implantados.
Esteja atento aos pedidos de permissões dos plugins
Conceda permissões com cautela, alguns plugins podem solicitar permissões desnecessárias, como acessar o histórico de navegação, clipboard, etc.
Quando encontrar um plugin que exige a leitura de informações sensíveis, é imprescindível manter-se alerta.
Verifique regularmente os plugins instalados
Na barra de endereços do Chrome, digite chrome://extensions/ para ver todos os plugins instalados.
Fique atento à data de atualização mais recente do plugin. Se o plugin não for atualizado há muito tempo e de repente lançar uma nova versão, deve estar alerta para a possibilidade de ter sido alterado.
Verifique regularmente as informações do desenvolvedor do plugin; se o desenvolvedor do plugin mudar ou se houver alterações nas permissões, deve-se manter alerta.
Usar ferramentas de monitoramento de fluxo de fundos
Se suspeitar de vazamento da chave privada, pode usar ferramentas profissionais para monitorar transações na blockchain e entender rapidamente o fluxo de fundos.
Para as equipas de projeto, como desenvolvedores e mantenedores de plugins, devem ser adotadas medidas de segurança mais rigorosas para prevenir riscos como a adulteração maliciosa, ataques à cadeia de abastecimento, e abuso do OAuth:
Controle de acesso OAuth
Restringir o âmbito da autorização, monitorizar os registos OAuth. Se o plugin precisar de usar OAuth para autenticação, tente utilizar um mecanismo de token de curta duração + token de atualização, evitando o armazenamento a longo prazo de tokens de alta privilégio.
Aumentar a segurança da conta do Chrome Web Store
A Chrome Web Store é o único canal oficial de lançamento para plugins. Uma vez que a conta do desenvolvedor é comprometida, os atacantes podem modificar o plugin e enviá-lo para todos os dispositivos dos usuários. Portanto, é necessário aumentar a segurança da conta, como ativar a 2FA e usar a gestão de permissões mínima.
Auditorias regulares
A integridade do código do plugin é o núcleo da proteção contra adulterações do projeto, recomenda-se realizar auditorias de segurança regularmente.
Monitorização de plugins
A equipe do projeto não só deve garantir que a nova versão lançada é segura, mas também precisa monitorizar em tempo real se o plugin foi sequestrado. Caso sejam detectados problemas, deve retirar imediatamente a versão maliciosa, publicar um aviso de segurança e notificar os usuários para desinstalarem a versão infectada.
Como lidar com plugins que foram infectados com código malicioso?
Se descobrir que o plugin foi infectado por código malicioso, ou suspeitar que o plugin possa representar um risco, recomenda-se que os usuários tomem as seguintes medidas:
Remover o plugin imediatamente
Aceda à página de gestão de extensões do Chrome, encontre o plugin afetado e remova-o.
Remover completamente os dados do plugin para evitar que códigos maliciosos remanescentes continuem a ser executados.
Alterar informações sensíveis que podem ser divulgadas
Altere todas as senhas guardadas do navegador, especialmente as que estão relacionadas com exchanges de criptomoedas e contas bancárias.
Criar uma nova carteira e transferir ativos com segurança (se o plugin tiver acesso à carteira de criptomoedas).
Verifique se a Chave de API foi comprometida e revogue imediatamente a Chave de API antiga, solicitando uma nova chave.
Escanear o sistema, verificar se há backdoors ou malware
Execute software antivírus ou ferramentas antimalware.
Verifique o arquivo Hosts, garantindo que não tenha sido modificado para endereços de servidores maliciosos.
Verifique o motor de busca e a página inicial padrão do navegador, alguns plugins maliciosos podem alterar essas definições.
Monitorizar se a conta tem atividades anormais
Verifique o histórico de login da exchange e da conta bancária; se forem encontrados logins de IPs anormais, é necessário mudar imediatamente a senha e ativar a 2FA.
Verifique os registos de transações da carteira de criptomoedas para confirmar se há transferências anómalas.
Verifique se as contas de redes sociais foram comprometidas; se houver mensagens diretas ou publicações anômalas, altere a senha imediatamente.
Feedback para a equipe oficial, para prevenir mais usuários de serem prejudicados.
Se descobrir que o plugin foi alterado, pode contactar a equipa de desenvolvimento original ou denunciar à Chrome oficial.
Pode contactar a equipa de segurança, emitir um alerta de risco e alertar mais utilizadores para a segurança.
Embora as extensões de navegador possam melhorar a experiência do usuário, elas também podem se tornar um ponto de ataque para hackers, trazendo riscos de vazamento de dados e perda de ativos. Portanto, enquanto os usuários desfrutam da conveniência, também precisam manter-se alerta e cultivar bons hábitos de segurança, como instalar e gerenciar extensões com cautela, verificar permissões regularmente e atualizar ou remover extensões suspeitas a tempo. Ao mesmo tempo, os desenvolvedores e as plataformas também devem reforçar as medidas de proteção de segurança, garantindo a segurança e conformidade das extensões. Apenas com o esforço conjunto de usuários, desenvolvedores e plataformas, aumentando a conscientização sobre segurança e implementando medidas de proteção eficazes, será possível realmente reduzir os riscos e garantir a segurança dos dados e ativos.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
7
Compartilhar
Comentário
0/400
AltcoinOracle
· 07-13 15:44
smh... apenas mais um dia na web3 onde 92,4% dos usuários confiam cegamente em plugins de navegador. puro darwinismo em ação, para ser honesto
Ver originalResponder0
PumpBeforeRug
· 07-13 11:47
Outra grande peça de fazer as pessoas de parvas.
Ver originalResponder0
OnchainDetective
· 07-10 19:27
Ai, a fritadeira estourou. Mais uma carteira foi comprometida.
Ver originalResponder0
ChainMaskedRider
· 07-10 19:21
Local de um grande acidente de morte social
Ver originalResponder0
LiquidityNinja
· 07-10 19:20
Este plugin não é para brincar.
Ver originalResponder0
MultiSigFailMaster
· 07-10 19:06
Já disse para não colocar coisas desordenadas.
Ver originalResponder0
ProposalDetective
· 07-10 19:00
As ferramentas de proxy também não são seguras? Não se preocupe.
O plugin SwitchyOmega é acusado de roubar Chave privada. Como prevenir os riscos de segurança das extensões do navegador.
Incidente de segurança do plugin do Google: SwitchyOmega acusado de roubar Chave privada, discussão sobre estratégias de prevenção de segurança do plugin
Recentemente, alguns usuários relataram que o conhecido plugin de troca de proxy SwitchyOmega pode apresentar risco de roubo de Chave privada. Após investigação, descobrimos que essa vulnerabilidade de segurança já existia desde o ano passado, mas alguns usuários podem não ter notado os avisos relacionados, continuando a usar versões afetadas do plugin, enfrentando assim sérias ameaças, como o sequestro de contas. Este artigo irá analisar em profundidade a situação da modificação deste plugin e discutir como prevenir a modificação de plugins e responder a plugins maliciosos.
Revisão do evento
Este incidente teve origem numa investigação de ataque realizada em 24 de dezembro de 2024. Um funcionário de uma determinada empresa recebeu um e-mail de phishing, o que levou à injeção de código malicioso no plugin de navegador que ele publicou, tentando roubar os cookies do navegador e as senhas dos usuários. A investigação independente revelou que mais de 30 plugins na loja de plugins do Google já haviam sofrido ataques semelhantes, incluindo o Proxy SwitchOmega (V3).
Os atacantes conseguiram o controle da conta da loja de aplicativos Chrome de uma empresa através de e-mails de phishing e, em seguida, carregaram uma nova versão da extensão contendo código malicioso. Aproveitando o mecanismo de atualização automática do Chrome, os usuários afetados atualizaram para a versão maliciosa sem saber.
O relatório de investigação indica que os plugins afetados pelos ataques tiveram mais de 500.000 downloads acumulados na loja do Google, com mais de 2,6 milhões de dados sensíveis de dispositivos de usuários sendo roubados, o que representa um grande risco de segurança para os usuários. Essas extensões adulteradas estiveram disponíveis na loja de aplicativos por até 18 meses, e os usuários vítimas praticamente não conseguiram perceber que seus dados haviam sido vazados durante esse período.
Devido à estratégia de atualização da loja Chrome que gradualmente não suporta plugins da versão V2, e como o plugin original SwitchyOmega é da versão V2, ele também está dentro da gama de não suportados. A versão maliciosa contaminada é da versão V3, e a conta do desenvolvedor é diferente da conta do plugin original V2. Portanto, não é possível confirmar se essa versão foi publicada oficialmente, nem determinar se a conta oficial foi hackeada e a versão maliciosa foi carregada, ou se o autor da versão V3 já tinha comportamentos maliciosos.
Especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente para reduzir o risco de segurança.
Como prevenir a alteração de plugins?
As extensões de navegador sempre foram um ponto fraco na segurança da web. Para evitar que os plugins sejam alterados ou que plugins maliciosos sejam descarregados, os usuários precisam garantir a segurança em três aspectos: instalação, uso e gestão.
Faça o download do plugin apenas de canais oficiais
Esteja atento aos pedidos de permissões dos plugins
Verifique regularmente os plugins instalados
Usar ferramentas de monitoramento de fluxo de fundos
Para as equipas de projeto, como desenvolvedores e mantenedores de plugins, devem ser adotadas medidas de segurança mais rigorosas para prevenir riscos como a adulteração maliciosa, ataques à cadeia de abastecimento, e abuso do OAuth:
Controle de acesso OAuth
Aumentar a segurança da conta do Chrome Web Store
Auditorias regulares
Monitorização de plugins
Como lidar com plugins que foram infectados com código malicioso?
Se descobrir que o plugin foi infectado por código malicioso, ou suspeitar que o plugin possa representar um risco, recomenda-se que os usuários tomem as seguintes medidas:
Remover o plugin imediatamente
Alterar informações sensíveis que podem ser divulgadas
Escanear o sistema, verificar se há backdoors ou malware
Monitorizar se a conta tem atividades anormais
Feedback para a equipe oficial, para prevenir mais usuários de serem prejudicados.
Embora as extensões de navegador possam melhorar a experiência do usuário, elas também podem se tornar um ponto de ataque para hackers, trazendo riscos de vazamento de dados e perda de ativos. Portanto, enquanto os usuários desfrutam da conveniência, também precisam manter-se alerta e cultivar bons hábitos de segurança, como instalar e gerenciar extensões com cautela, verificar permissões regularmente e atualizar ou remover extensões suspeitas a tempo. Ao mesmo tempo, os desenvolvedores e as plataformas também devem reforçar as medidas de proteção de segurança, garantindo a segurança e conformidade das extensões. Apenas com o esforço conjunto de usuários, desenvolvedores e plataformas, aumentando a conscientização sobre segurança e implementando medidas de proteção eficazes, será possível realmente reduzir os riscos e garantir a segurança dos dados e ativos.