Безопасностный инцидент с плагином Google: SwitchyOmega обвиняется в краже Закрытого ключа, обсуждение стратегии защиты плагинов

В последнее время некоторые пользователи сообщили, что известный плагин для переключения прокси SwitchyOmega может представлять риск кражи закрытого ключа. В ходе расследования было установлено, что эта угроза безопасности появилась еще в прошлом году, но некоторые пользователи, возможно, не обратили внимания на соответствующие предупреждения и продолжили использовать затронутую версию плагина, что поставило под угрозу их аккаунты и создало серьезные риски. В этой статье мы подробно проанализируем случай подделки плагина и обсудим, как предотвратить подделку плагинов и справиться с вредоносными плагинами.

Обзор события

Этот инцидент изначально произошел в результате расследования атаки 24 декабря 2024 года. Сотрудник одной компании получил фишинговое письмо, что привело к внедрению вредоносного кода в выпущенное им расширение браузера, пытаясь украсть куки и пароли пользователей. Независимое расследование показало, что более 30 расширений в магазине плагинов Google уже подверглись аналогичным атакам, включая Proxy SwitchOmega (V3).

Злоумышленник получил контроль над аккаунтом компании в магазине приложений Chrome через фишинговое письмо и затем загрузил новую версию расширения с вредоносным кодом. Используя механизм автоматического обновления Chrome, пострадавшие пользователи обновили вредоносную версию, не подозревая об этом.

Исследовательский отчет указывает на то, что сумма загрузок этих уязвимых плагинов в магазине Google превышает 500 000, и более 2,6 миллиона устройств пользователей стали жертвами кражи конфиденциальных данных, что представляет собой огромный риск для безопасности пользователей. Эти поддельные расширения были доступны в магазине приложений до 18 месяцев, и пострадавшие пользователи на протяжении этого времени практически не могли заметить утечку своих данных.

Из-за обновления политики магазина Chrome, который постепенно перестает поддерживать плагины версии V2, официальная версия плагина SwitchyOmega также попала в категорию неподдерживаемых. Загрязненная вредоносная версия является версией V3, у ее разработчика другой аккаунт, чем у оригинальной версии V2. Поэтому невозможно подтвердить, была ли эта версия выпущена официально, или же аккаунт официального разработчика был взломан и загружена вредоносная версия, или автор версии V3 изначально имел злонамеренные намерения.

Эксперты по безопасности рекомендуют пользователям проверить ID установленных плагинов, чтобы подтвердить, являются ли они официальными версиями. Если обнаружены установленные уязвимые плагины, их следует немедленно обновить до последней безопасной версии или удалить, чтобы снизить риски безопасности.

Как предотвратить подмену плагина?

Расширения браузера всегда были слабым звеном в сети безопасности. Чтобы избежать изменения плагинов или загрузки вредоносных плагинов, пользователям необходимо обеспечить безопасность с трех аспектов: установки, использования и управления.

1. Загружайте плагины только из официальных источников

   • Предпочитайте использовать официальный магазин Chrome, не доверяйте сторонним ссылкам для загрузки в интернете.
   • Избегайте использования непроверенных "взломанных" плагинов, многие модифицированные плагины могут содержать скрытые двери.

2. Будьте осторожны с запросами прав от плагинов

   • Осторожно предоставляйте права, некоторые плагины могут запрашивать ненужные права, такие как доступ к истории просмотров, буфер обмена и т.д.
   • При встрече с плагинами, требующими доступ к конфиденциальной информации, обязательно проявляйте бдительность.

3. Регулярно проверяйте установленные плагины

   • Введите chrome://extensions/ в адресной строке Chrome, чтобы просмотреть все установленные расширения.
   • Обратите внимание на дату последнего обновления плагина. Если плагин долгое время не обновлялся, а затем внезапно выпущена новая версия, будьте осторожны, так как он мог быть изменен.
   • Регулярно проверяйте информацию о разработчике плагина. Если разработчик плагина изменился или произошли изменения в правах, будьте осторожны.

4. Используйте инструменты мониторинга движения средств

   • Если есть подозрения на утечку закрытого ключа, можно использовать профессиональные инструменты для мониторинга транзакций в сети, чтобы своевременно узнать о движении средств.

Для команды проекта, в качестве разработчиков и поддерживающих плагин, следует принять более строгие меры безопасности, чтобы предотвратить такие риски, как злонамеренные изменения, атаки на цепочку поставок, злоупотребление OAuth и т.д.

1. Управление доступом OAuth

   • Ограничьте область полномочий, контролируйте журналы OAuth. Если плагин требует использования OAuth для аутентификации, старайтесь использовать механизм краткосрочных токенов + токенов обновления, избегая долгосрочного хранения токенов с высокими полномочиями.

2. Увеличение безопасности учетной записи в Chrome Web Store

   • Chrome Web Store является единственным официальным каналом выпуска плагинов, и если учетная запись разработчика будет взломана, злоумышленник сможет изменить плагин и отправить его на все устройства пользователей. Поэтому необходимо усилить безопасность учетной записи, например, включив 2FA и используя управление минимальными правами.

3. Регулярный аудит

   • Целостность кода плагина является основным моментом защиты проекта от подделок, рекомендуется регулярно проводить аудит безопасности.

4. Мониторинг плагинов

   • Команда проекта должна не только обеспечить безопасность новой версии, но и в реальном времени отслеживать, были ли захвачены плагины, и в случае обнаружения проблем немедленно удалить вредоносную версию, выпустить уведомление о безопасности и уведомить пользователей о необходимости удалить зараженную версию.

Как обработать плагины, в которые была внедрена вредоносная код?

Если вы обнаружите, что плагин был заражен вредоносным кодом, или подозреваете, что плагин может представлять риск, рекомендуется пользователям предпринять следующие меры:

1. Немедленно удалить плагин

   • Перейдите на страницу управления расширениями Chrome и найдите затронутое расширение для удаления.
   • Полностью удалить данные плагина, чтобы предотвратить выполнение оставшегося вредоносного кода.

2. Измените потенциально раскрывающую чувствительную информацию

   • Замените все сохраненные пароли браузера, особенно пароли, связанные с криптовалютными биржами и банковскими счетами.
   • Создайте новый кошелек и безопасно перенесите активы (если плагин получил доступ к криптокошельку).
   • Проверьте, не был ли скомпрометирован API Key, и немедленно аннулируйте старый API Key, запросите новый ключ.

3. Сканируйте систему, проверьте наличие задних дверей или вредоносного ПО

   • Запустите антивирусное или антишпионское программное обеспечение.
   • Проверьте файл Hosts, чтобы убедиться, что он не был изменен на адреса злонамеренных серверов.
   • Проверьте настройки поисковой системы и домашней страницы браузера, некоторые вредоносные плагины могут изменять эти настройки.

4. Мониторинг аккаунта на наличие необычной активности

   • Проверьте историю входа в биржу и банковский аккаунт. Если обнаружены входы с подозрительных IP, необходимо немедленно сменить пароль и включить 2FA.
   • Проверьте историю транзакций криптовалютного кошелька, чтобы подтвердить наличие аномальных переводов.
   • Проверьте, не был ли украден аккаунт в социальных сетях. Если есть подозрительные личные сообщения или записи, необходимо немедленно изменить пароль.

5. Обратная связь с официальными представителями, чтобы предотвратить ущерб для большего числа пользователей

   • Если вы обнаружите, что плагин был изменен, вы можете связаться с оригинальной командой разработчиков или сообщить об этом в официальную службу поддержки Chrome.
   • Можно связаться с командой безопасности, выпустить предупреждение о рисках, чтобы напомнить большему числу пользователей обратить внимание на безопасность.

Хотя плагины для браузеров могут улучшить пользовательский опыт, они также могут стать уязвимой точкой для хакерских атак, что приводит к рискам утечки данных и потери активов. Поэтому пользователи, наслаждаясь удобством, должны оставаться бдительными и вырабатывать хорошие привычки безопасности, такие как осторожная установка и управление плагинами, регулярная проверка прав, своевременное обновление или удаление подозрительных плагинов и т.д. В то же время разработчики и платформы также должны усиливать меры безопасности, чтобы гарантировать безопасность и соответствие плагинов. Только совместными усилиями пользователей, разработчиков и платформ можно повысить осведомленность о безопасности и реализовать эффективные защитные меры, чтобы действительно снизить риски и обеспечить безопасность данных и активов.