El conocido complemento de Chrome SwitchyOmega tiene vulnerabilidades de seguridad, ¿cómo prevenir que el complemento sea alterado?
Recientemente, los usuarios han informado que el popular complemento de cambio de proxy de Chrome, SwitchyOmega, puede tener un riesgo de seguridad de robo de claves privadas. Tras una investigación, se descubrió que este problema ya había surgido el año pasado, pero algunos usuarios pueden no haber prestado atención a las advertencias y continuaron utilizando versiones contaminadas del complemento, enfrentando graves amenazas como la filtración de claves privadas y el secuestro de cuentas. Este artículo analizará este incidente de alteración del complemento y explorará cómo prevenir y responder a riesgos similares.
Revisión del evento
Este evento se originó inicialmente en una investigación sobre un ataque. El 24 de diciembre de 2024, un empleado de una empresa recibió un correo electrónico de phishing, lo que llevó a que el complemento del navegador que publicaron se viera comprometido con código malicioso, tratando de robar las cookies y contraseñas del navegador de los usuarios. Una investigación independiente descubrió que más de 30 complementos en la tienda de complementos de Google ya habían sido objeto de ataques similares, incluyendo Proxy SwitchOmega (V3).
El correo electrónico de phishing afirma que la extensión del navegador de la empresa viola los términos relevantes de Google y amenaza con que, si no se toman medidas de inmediato, el complemento será revocado. Con un sentido de urgencia, el empleado hizo clic en el enlace de phishing en el correo y autorizó una aplicación OAuth llamada "Privacy Policy Extension". Una vez que el atacante obtiene acceso a la aplicación OAuth, puede controlar de forma remota la cuenta de la víctima y modificar los datos de la aplicación sin necesidad de una contraseña.
Después de que los atacantes obtuvieron el control de la cuenta de la tienda de aplicaciones de Chrome, subieron una nueva versión de la extensión que contenía código malicioso y aprovecharon el mecanismo de actualización automática de Chrome, lo que llevó a que los usuarios afectados se actualizaran automáticamente a la versión maliciosa sin saberlo.
Los complementos maliciosos contienen dos archivos, siendo el archivo worker.js el que se conecta al servidor de comando y control, descarga la configuración y la almacena en el almacenamiento local de Chrome, y luego registra un oyente para escuchar eventos provenientes de content.js. La versión maliciosa, dentro de las 31 horas de estar en línea, hará que el navegador Chrome que ejecute esta extensión descargue e instale automáticamente el código malicioso.
El informe de investigación señala que estos complementos afectados por el ataque han acumulado más de 500,000 descargas en la tienda de Google, y se han robado datos sensibles de más de 2.6 millones de dispositivos de usuarios, lo que representa un gran riesgo de seguridad para los usuarios. Estos programas de extensión manipulados estuvieron disponibles en la tienda de aplicaciones durante un máximo de 18 meses, y los usuarios afectados apenas pudieron darse cuenta de que sus datos habían sido filtrados.
Debido a la política de actualización de la tienda Chrome, que gradualmente no admite complementos de la versión V2, y dado que el complemento original de SwitchyOmega es de la versión V2, también se encuentra dentro del rango no soportado. La versión maliciosa contaminada es de la versión V3, cuyo cuenta de desarrollador es diferente de la del complemento original de la versión V2. Por lo tanto, no se puede confirmar si esta versión fue publicada oficialmente, ni se puede determinar si la cuenta oficial fue hackeada para subir la versión maliciosa, o si el autor de la versión V3 ya tenía un comportamiento malicioso.
Los expertos en seguridad aconsejan a los usuarios que verifiquen el ID de los complementos instalados para confirmar si son versiones oficiales. Si se detectan complementos afectados instalados, se debe actualizar inmediatamente a la última versión segura o eliminarlos directamente para reducir los riesgos de seguridad.
¿Cómo prevenir la alteración de plugins?
Las extensiones del navegador siempre han sido un eslabón débil en la seguridad en línea. Para evitar que los complementos sean alterados o que se descarguen complementos maliciosos, los usuarios deben implementar medidas de seguridad en tres aspectos: instalación, uso y gestión.
Descargue el complemento solo desde canales oficiales
Prioriza el uso de la tienda oficial de Chrome, no confíes en los enlaces de descarga de terceros en línea.
Evita usar complementos "crackeados" no verificados, muchos complementos modificados pueden haber sido infiltrados con puertas traseras.
Esté atento a las solicitudes de permisos de los complementos
Concede permisos con precaución, algunos complementos pueden solicitar permisos innecesarios, como el acceso al historial de navegación, al portapapeles, etc.
Al encontrar un complemento que solicita leer información sensible, asegúrese de estar alerta.
Revisar periódicamente los complementos instalados
En la barra de direcciones de Chrome, ingresa chrome://extensions/ para ver todas las extensiones instaladas.
Presta atención a la última fecha de actualización del complemento; si el complemento no se ha actualizado durante mucho tiempo y de repente se publica una nueva versión, debes estar alerta ante la posibilidad de que haya sido alterado.
Realiza revisiones periódicas de la información del desarrollador del complemento; si el complemento cambia de desarrollador o los permisos cambian, debes estar alerta.
Utilizar herramientas profesionales para monitorear el flujo de fondos y prevenir pérdidas de activos
Si sospechas que la clave privada ha sido filtrada, puedes usar herramientas profesionales para monitorear transacciones en la cadena y conocer a tiempo el flujo de fondos.
Para el equipo del proyecto, como desarrolladores y mantenedores de plugins, se deben implementar medidas de seguridad más estrictas para prevenir riesgos como la manipulación maliciosa, ataques a la cadena de suministro, abuso de OAuth, entre otros:
Control de acceso OAuth
Restringir el alcance de la autorización, monitorear los registros de OAuth. Si el complemento necesita usar OAuth para la autenticación, intente utilizar un mecanismo de token de corta duración + token de actualización, evitando el almacenamiento a largo plazo de tokens de alta autorización.
Aumentar la seguridad de la cuenta de Chrome Web Store
La Chrome Web Store es el único canal oficial de lanzamiento de extensiones. Una vez que la cuenta del desarrollador es hackeada, el atacante puede modificar la extensión y enviarla a todos los dispositivos de los usuarios. Por lo tanto, es necesario aumentar la seguridad de la cuenta, como habilitar la autenticación en dos pasos (2FA) y utilizar la gestión de permisos mínimos.
Auditoría periódica
La integridad del código del plugin es fundamental para que el proyecto evite la manipulación, se recomienda realizar auditorías de seguridad regularmente.
Monitoreo de complementos
El equipo del proyecto no solo debe asegurar que la nueva versión publicada sea segura, sino que también necesita monitorear en tiempo real si el complemento ha sido secuestrado. Si se detecta un problema, deben retirar de inmediato la versión maliciosa, publicar un aviso de seguridad y notificar a los usuarios para desinstalar la versión infectada.
¿Cómo manejar los complementos que han sido infectados con código malicioso?
Si se descubre que el complemento ha sido infectado por código malicioso, o si se sospecha que el complemento puede presentar riesgos, se recomienda a los usuarios que tomen las siguientes medidas:
Eliminar el complemento de inmediato
Accede a la página de gestión de extensiones de Chrome (chrome://extensions/), encuentra el complemento afectado y elimínalo.
Eliminar completamente los datos del plugin para evitar que el código malicioso residual siga en ejecución.
Cambiar la información sensible que puede haber sido filtrada
Cambia todas las contraseñas guardadas en el navegador, especialmente las contraseñas relacionadas con los intercambios de criptomonedas y cuentas bancarias.
Crear una nueva cartera y transferir activos de forma segura (si el complemento accedió a la cartera criptográfica).
Verifica si la clave API ha sido filtrada y revoca de inmediato la clave API antigua, solicitando una nueva.
Escanear el sistema para verificar si hay puertas traseras o malware.
Ejecutar software antivirus o herramientas anti-malware.
Verifica el archivo Hosts para asegurarte de que no haya sido modificado a direcciones de servidores maliciosos.
Verifique el motor de búsqueda y la página de inicio predeterminados del navegador, algunos complementos maliciosos pueden alterar estas configuraciones.
Monitorear si hay actividades inusuales en la cuenta
Verifica el historial de inicio de sesión de los intercambios y cuentas bancarias. Si encuentras inicios de sesión desde IPs anómalas, debes cambiar la contraseña de inmediato y activar la 2FA.
Verifica el historial de transacciones de la billetera de criptomonedas para confirmar si hay transferencias anormales.
Verifica si las cuentas de redes sociales han sido comprometidas; si hay mensajes privados o publicaciones sospechosas, cambia la contraseña de inmediato.
Retroalimentación a la oficial, para prevenir que más usuarios sean perjudicados.
Si se descubre que el complemento ha sido alterado, se puede contactar al equipo de desarrollo original o informar a las autoridades de Chrome.
Se puede contactar al equipo de seguridad, emitir advertencias de riesgo y recordar a más usuarios que presten atención a la seguridad.
Aunque las extensiones de navegador pueden mejorar la experiencia del usuario, también pueden convertirse en un punto de entrada para ataques de hackers, lo que conlleva riesgos de filtración de datos y pérdida de activos. Por lo tanto, los usuarios, al disfrutar de la comodidad, también deben mantenerse alerta y desarrollar buenos hábitos de seguridad, como instalar y gestionar extensiones con precaución, revisar permisos regularmente y actualizar o eliminar extensiones sospechosas a tiempo. Al mismo tiempo, los desarrolladores y las plataformas también deben reforzar las medidas de seguridad para garantizar la seguridad y conformidad de las extensiones. Solo con el esfuerzo conjunto de usuarios, desarrolladores y plataformas, aumentando la conciencia de seguridad y implementando medidas de protección efectivas, se puede reducir realmente el riesgo y garantizar la seguridad de los datos y activos.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
5
Compartir
Comentar
0/400
CoffeeNFTrader
· 07-15 14:39
Esta mañana me asusté al verlo, así que me lo quité rápidamente, mis manos temblaban.
Ver originalesResponder0
ApeWithNoChain
· 07-15 12:56
El diablo está en los detalles, no se puede ser descuidado.
Ver originalesResponder0
MagicBean
· 07-12 16:42
¡Dios mío, los plugins también pueden verse afectados??
Ver originalesResponder0
SerumDegen
· 07-12 16:40
rekt af... acabo de perder 12k por un hackeo de una extensión de chrome smh
Ver originalesResponder0
ArbitrageBot
· 07-12 16:32
¡Vaya, la tienda de Google ya no es confiable! ¡Eliminar, eliminar, eliminar!
El complemento de Chrome SwitchyOmega presenta riesgos de seguridad. Cómo prevenir el riesgo de manipulación.
El conocido complemento de Chrome SwitchyOmega tiene vulnerabilidades de seguridad, ¿cómo prevenir que el complemento sea alterado?
Recientemente, los usuarios han informado que el popular complemento de cambio de proxy de Chrome, SwitchyOmega, puede tener un riesgo de seguridad de robo de claves privadas. Tras una investigación, se descubrió que este problema ya había surgido el año pasado, pero algunos usuarios pueden no haber prestado atención a las advertencias y continuaron utilizando versiones contaminadas del complemento, enfrentando graves amenazas como la filtración de claves privadas y el secuestro de cuentas. Este artículo analizará este incidente de alteración del complemento y explorará cómo prevenir y responder a riesgos similares.
Revisión del evento
Este evento se originó inicialmente en una investigación sobre un ataque. El 24 de diciembre de 2024, un empleado de una empresa recibió un correo electrónico de phishing, lo que llevó a que el complemento del navegador que publicaron se viera comprometido con código malicioso, tratando de robar las cookies y contraseñas del navegador de los usuarios. Una investigación independiente descubrió que más de 30 complementos en la tienda de complementos de Google ya habían sido objeto de ataques similares, incluyendo Proxy SwitchOmega (V3).
El correo electrónico de phishing afirma que la extensión del navegador de la empresa viola los términos relevantes de Google y amenaza con que, si no se toman medidas de inmediato, el complemento será revocado. Con un sentido de urgencia, el empleado hizo clic en el enlace de phishing en el correo y autorizó una aplicación OAuth llamada "Privacy Policy Extension". Una vez que el atacante obtiene acceso a la aplicación OAuth, puede controlar de forma remota la cuenta de la víctima y modificar los datos de la aplicación sin necesidad de una contraseña.
Después de que los atacantes obtuvieron el control de la cuenta de la tienda de aplicaciones de Chrome, subieron una nueva versión de la extensión que contenía código malicioso y aprovecharon el mecanismo de actualización automática de Chrome, lo que llevó a que los usuarios afectados se actualizaran automáticamente a la versión maliciosa sin saberlo.
Los complementos maliciosos contienen dos archivos, siendo el archivo worker.js el que se conecta al servidor de comando y control, descarga la configuración y la almacena en el almacenamiento local de Chrome, y luego registra un oyente para escuchar eventos provenientes de content.js. La versión maliciosa, dentro de las 31 horas de estar en línea, hará que el navegador Chrome que ejecute esta extensión descargue e instale automáticamente el código malicioso.
El informe de investigación señala que estos complementos afectados por el ataque han acumulado más de 500,000 descargas en la tienda de Google, y se han robado datos sensibles de más de 2.6 millones de dispositivos de usuarios, lo que representa un gran riesgo de seguridad para los usuarios. Estos programas de extensión manipulados estuvieron disponibles en la tienda de aplicaciones durante un máximo de 18 meses, y los usuarios afectados apenas pudieron darse cuenta de que sus datos habían sido filtrados.
Debido a la política de actualización de la tienda Chrome, que gradualmente no admite complementos de la versión V2, y dado que el complemento original de SwitchyOmega es de la versión V2, también se encuentra dentro del rango no soportado. La versión maliciosa contaminada es de la versión V3, cuyo cuenta de desarrollador es diferente de la del complemento original de la versión V2. Por lo tanto, no se puede confirmar si esta versión fue publicada oficialmente, ni se puede determinar si la cuenta oficial fue hackeada para subir la versión maliciosa, o si el autor de la versión V3 ya tenía un comportamiento malicioso.
Los expertos en seguridad aconsejan a los usuarios que verifiquen el ID de los complementos instalados para confirmar si son versiones oficiales. Si se detectan complementos afectados instalados, se debe actualizar inmediatamente a la última versión segura o eliminarlos directamente para reducir los riesgos de seguridad.
¿Cómo prevenir la alteración de plugins?
Las extensiones del navegador siempre han sido un eslabón débil en la seguridad en línea. Para evitar que los complementos sean alterados o que se descarguen complementos maliciosos, los usuarios deben implementar medidas de seguridad en tres aspectos: instalación, uso y gestión.
Descargue el complemento solo desde canales oficiales
Esté atento a las solicitudes de permisos de los complementos
Revisar periódicamente los complementos instalados
Utilizar herramientas profesionales para monitorear el flujo de fondos y prevenir pérdidas de activos
Para el equipo del proyecto, como desarrolladores y mantenedores de plugins, se deben implementar medidas de seguridad más estrictas para prevenir riesgos como la manipulación maliciosa, ataques a la cadena de suministro, abuso de OAuth, entre otros:
Control de acceso OAuth
Aumentar la seguridad de la cuenta de Chrome Web Store
Auditoría periódica
Monitoreo de complementos
¿Cómo manejar los complementos que han sido infectados con código malicioso?
Si se descubre que el complemento ha sido infectado por código malicioso, o si se sospecha que el complemento puede presentar riesgos, se recomienda a los usuarios que tomen las siguientes medidas:
Eliminar el complemento de inmediato
Cambiar la información sensible que puede haber sido filtrada
Escanear el sistema para verificar si hay puertas traseras o malware.
Monitorear si hay actividades inusuales en la cuenta
Retroalimentación a la oficial, para prevenir que más usuarios sean perjudicados.
Aunque las extensiones de navegador pueden mejorar la experiencia del usuario, también pueden convertirse en un punto de entrada para ataques de hackers, lo que conlleva riesgos de filtración de datos y pérdida de activos. Por lo tanto, los usuarios, al disfrutar de la comodidad, también deben mantenerse alerta y desarrollar buenos hábitos de seguridad, como instalar y gestionar extensiones con precaución, revisar permisos regularmente y actualizar o eliminar extensiones sospechosas a tiempo. Al mismo tiempo, los desarrolladores y las plataformas también deben reforzar las medidas de seguridad para garantizar la seguridad y conformidad de las extensiones. Solo con el esfuerzo conjunto de usuarios, desarrolladores y plataformas, aumentando la conciencia de seguridad y implementando medidas de protección efectivas, se puede reducir realmente el riesgo y garantizar la seguridad de los datos y activos.