Безпекова подія плагіна Google: SwitchyOmega звинувачується в крадіжці Закритий ключ, обговорення стратегій безпеки плагінів

Нещодавно деякі користувачі повідомили про можливий ризик крадіжки закритого ключа у відомому плагіні для перемикання агентів SwitchyOmega. Після розслідування виявилось, що ця проблема безпеки існує ще з минулого року, але деякі користувачі, можливо, не звернули уваги на відповідні попередження і продовжували використовувати уражену версію плагіна, внаслідок чого зіткнулися з серйозними загрозами, такими як захоплення облікового запису. У цій статті буде детально проаналізовано випадок підробки цього плагіна та обговорено, як запобігти підробці плагінів і протидіяти шкідливим плагінам.

Огляд подій

Ця подія спочатку виникла через розслідування атаки, що відбулася 24 грудня 2024 року. Один з працівників компанії отримав фішинг-лист, що призвело до впровадження шкідливого коду в браузерний плагін, що він опублікував, з метою викрадення cookie та паролів користувачів. Незалежне розслідування показало, що в магазині плагінів Google вже понад 30 плагінів зазнали подібних атак, включаючи Proxy SwitchOmega (V3).

Зловмисник отримав контроль над обліковим записом Chrome Web Store певної компанії через фішингові електронні листи, а потім завантажив нову версію розширення з шкідливим кодом. Використовуючи механізм автоматичного оновлення Chrome, постраждалі користувачі без відома оновилися до шкідливої версії.

Дослідження вказує на те, що плагіни, які постраждали від атак, мають загальну кількість завантажень у магазині Google понад 500 тисяч, а чутливі дані з більш ніж 2,6 мільйона пристроїв користувачів були вкрадені, що становить величезний ризик для безпеки користувачів. Ці модифіковані розширення були доступні в магазині додатків до 18 місяців, і жертви під час цього періоду майже не могли помітити, що їхні дані були скомпрометовані.

Оскільки оновлення в Chrome-магазині поступово не підтримує плагіни версії V2, а оригінальний плагін SwitchyOmega є версією V2, він також потрапляє під обмеження. Забруднена шкідлива версія є версією V3, її розробник має інший обліковий запис, ніж обліковий запис оригінальної версії V2. Тому неможливо підтвердити, чи була ця версія випущена офіційно, а також неможливо визначити, чи обліковий запис офіційного розробника був зламаний і після цього завантажена шкідлива версія, чи сам автор версії V3 мав шкідливі наміри.

Експерти з безпеки рекомендують користувачам перевірити ID встановлених плагінів, щоб підтвердити, чи є вони офіційними версіями. Якщо виявлено встановлені плагіни, які підпадають під вплив, слід терміново оновити їх до останньої безпечної версії або безпосередньо видалити, щоб зменшити ризики безпеки.

Як запобігти зміні плагіна?

Розширення для браузера завжди були слабким місцем в мережевій безпеці. Щоб уникнути модифікації плагінів або завантаження шкідливих плагінів, користувачі повинні забезпечити безпеку з трьох аспектів: встановлення, використання та управління.

1. Завантажуйте плагіни тільки з офіційних каналів

   • Використовуйте офіційний магазин Chrome, не довіряйте стороннім посиланням для завантаження з Інтернету.
   • Уникайте використання неперевірених "зламаних" плагінів, багато модифікованих плагінів можуть містити приховані шляхи доступу.

2. Будьте обережні з запитами на дозволи плагінів

   • Обережно надавайте дозволи, деякі плагіни можуть вимагати непотрібних дозволів, таких як доступ до історії перегляду, буфера обміну тощо.
   • При зустрічі з плагінами, які вимагають доступу до чутливої інформації, обов'язково проявляйте обережність.

3. Регулярно перевіряйте встановлені плагіни

   • Введіть chrome://extensions/ у адресному рядку Chrome, щоб переглянути всі встановлені розширення.
   • Звертайте увагу на останній час оновлення плагіна, якщо плагін довгий час не оновлювався, а раптом випустив нову версію, слід насторожитися через можливе його спотворення.
   • Регулярно перевіряйте інформацію про розробника плагіна. Якщо розробник плагіна змінився або змінилися права, слід бути обережними.

4. Використовуйте інструменти моніторингу грошових потоків

   • Якщо підозрюєте, що закритий ключ став доступним, можна використовувати професійні інструменти для моніторингу транзакцій в ланцюзі, щоб вчасно дізнатися про рух коштів.

Для команди проекту, як розробники та підтримувачі плагінів, слід вжити більш суворих заходів безпеки для запобігання ризикам, таким як зловмисні зміни, атаки на ланцюг постачання, зловживання OAuth тощо:

1. Контроль доступу OAuth

   • Обмежити обсяг авторизації, моніторити журнали OAuth, якщо плагін потребує використання OAuth для автентифікації, намагайтеся використовувати механізм короткочасного токена + токена оновлення, уникаючи тривалого зберігання токена з високими правами.

2. Посилення безпеки облікового запису Chrome Web Store

   • Chrome Web Store є єдиним офіційним каналом публікації плагінів, і якщо обліковий запис розробника буде зламано, зловмисник зможе змінити плагін і надіслати його на всі пристрої користувачів. Тому необхідно посилити безпеку облікового запису, наприклад, увімкнувши 2FA, використовуючи управління мінімальними правами.

3. Регулярний аудит

   • Цілісність коду плагіна є основою захисту проекту від підробок, рекомендується регулярно проводити аудит безпеки.

4. Моніторинг плагінів

• Проектна команда повинна не лише забезпечити безпеку нової версії, але й в реальному часі контролювати, чи не була плагін вкрадена. У разі виявлення проблем потрібно в першу чергу зняти з обігу шкідливу версію, опублікувати оголошення про безпеку та сповістити користувачів про необхідність видалення зараженої версії.

Як обробити плагіни, в які були впроваджені зловмисні коди?

Якщо виявлено, що плагін був заражений шкідливим кодом, або є підозри, що плагін може бути ризикованим, рекомендується користувачам вжити наступних заходів:

1. Негайно видалити плагін

   • Перейдіть на сторінку управління розширеннями Chrome, знайдіть постраждале розширення та видаліть його.
   • Повністю видалити дані плагіна, щоб запобігти подальшому виконанню залишкового шкідливого коду.

2. Зміна чутливої інформації, яка може бути розкрита

   • Змінити всі збережені паролі браузера, особливо ті, що стосуються криптовалютних бірж, банківських рахунків.
   • Створення нового гаманця та безпечний перенос активів (якщо плагін отримав доступ до криптогаманця).
   • Перевірте, чи не було скомпрометовано API Key, і негайно відкличте старий API Key, подайте заявку на новий ключ.

3. Скануйте систему, перевірте на наявність бекдорів або шкідливого програмного забезпечення

   • Запустіть антивірусне програмне забезпечення або інструменти проти шкідливого програмного забезпечення.
   • Перевірте файл Hosts, щоб переконатися, що він не був змінений на зловмисні адреси серверів.
   • Перевірте налаштування пошукової системи та домашньої сторінки браузера, деякі шкідливі плагіни можуть змінювати ці налаштування.

4. Моніторинг наявності аномальної активності в обліковому записі

   • Перевірте історію входу до біржі та банківського рахунку. Якщо виявите аномальне входження з IP-адреси, терміново змініть пароль і увімкніть 2FA.
   • Перевірте історію транзакцій криптогаманця, щоб підтвердити, чи є аномальні перекази.
   • Перевірте, чи не було вкрадено облікові записи в соціальних мережах. Якщо є підозрілі приватні повідомлення або пости, потрібно терміново змінити пароль.

5. Зворотний зв'язок для офіційних осіб, щоб запобігти подальшим жертвам серед користувачів

   • Якщо ви виявили, що плагін був змінений, ви можете зв'язатися з оригінальною командою розробників або повідомити про це офіційним представникам Chrome.
   • Можна зв'язатися з командою безпеки, опублікувати попередження про ризики, щоб нагадати більшій кількості користувачів звернути увагу на безпеку.

Хоча розширення браузера можуть покращити взаємодію з користувачем, вони також можуть стати вразливістю для атак хакерів, що несе ризик витоку даних і втрати активів. Тому користувачі, насолоджуючись зручністю, також повинні бути насторожі, розвивати хороші звички безпеки, такі як обережна установка та управління розширеннями, регулярна перевірка дозволів, своєчасне оновлення або видалення підозрілих розширень тощо. Тим часом розробники та платформи також повинні посилити заходи безпеки, щоб забезпечити безпеку та відповідність розширень. Лише спільними зусиллями користувачів, розробників та платформ, підвищуючи обізнаність про безпеку та впроваджуючи ефективні заходи захисту, можна справді знизити ризики та забезпечити безпеку даних і активів.