Le célèbre plugin Chrome SwitchyOmega présente des vulnérabilités de sécurité, comment prévenir la modification du plugin ?
Récemment, des utilisateurs ont signalé que le plugin de commutation de proxy populaire SwitchyOmega pour Chrome pourrait présenter un risque de sécurité lié au vol de clés privées. Une enquête a révélé que ce problème existait déjà l'année dernière, mais certains utilisateurs n'ont peut-être pas remarqué l'avertissement et ont continué à utiliser une version compromise du plugin, faisant face à des menaces graves telles que la fuite de clés privées et le détournement de comptes. Cet article analysera cet incident de modification de plugin et explorera comment prévenir et répondre à des risques similaires.
Revue de l'événement
Cet événement est initialement né d'une enquête sur une attaque. Le 24 décembre 2024, un employé d'une entreprise a reçu un e-mail de phishing, ce qui a conduit à l'insertion de code malveillant dans le plugin de navigateur qu'il avait publié, essayant de voler les cookies et mots de passe du navigateur des utilisateurs. Une enquête indépendante a révélé que plus de 30 plugins sur le magasin de plugins Google avaient subi des attaques similaires, y compris Proxy SwitchOmega (V3).
Les e-mails de phishing prétendent que l'extension de navigateur de l'entreprise enfreint les conditions de Google et menacent que si aucune action n'est prise immédiatement, le plugin sera supprimé. Par sentiment d'urgence, l'employé a cliqué sur le lien de phishing dans l'e-mail et a autorisé une application OAuth appelée "Privacy Policy Extension". Une fois que l'attaquant a obtenu l'accès à l'application OAuth, il peut contrôler à distance le compte de la victime, modifiant les données de l'application sans avoir besoin de mot de passe.
Après avoir obtenu le contrôle d'un compte de la boutique d'applications Chrome, l'attaquant a téléchargé une nouvelle version de l'extension contenant du code malveillant et a profité du mécanisme de mise à jour automatique de Chrome pour faire en sorte que les utilisateurs affectés mettent à jour automatiquement vers la version malveillante à leur insu.
Les plugins malveillants contiennent deux fichiers, dont le fichier worker.js se connecte au serveur de commande et de contrôle, télécharge la configuration et la stocke dans le stockage local de Chrome, puis enregistre un écouteur pour écouter les événements provenant de content.js. La version malveillante, dans les 31 heures suivant son lancement, fera automatiquement télécharger et installer le code malveillant sur le navigateur Chrome exécutant cette extension.
Le rapport d'enquête indique que les plugins concernés par les attaques ont été téléchargés plus de 500 000 fois dans le magasin Google, et plus de 2,6 millions de données sensibles des appareils des utilisateurs ont été volées, représentant un risque de sécurité considérable pour les utilisateurs. Ces extensions modifiées ont été disponibles dans le magasin d'applications pendant jusqu'à 18 mois, et les utilisateurs victimes ont presque été incapables de réaliser que leurs données avaient été compromises.
En raison de la stratégie de mise à jour du Chrome Web Store qui ne prend progressivement plus en charge les extensions de version V2, l'extension officielle originale SwitchyOmega étant de version V2, elle se trouve également dans la zone non prise en charge. La version malveillante contaminée est de version V3, et son compte développeur est différent de celui du compte de la version originale V2. Par conséquent, il est impossible de confirmer si cette version a été publiée par l'officiel, ni de juger si le compte officiel a été piraté pour télécharger une version malveillante, ou si l'auteur de la version V3 avait déjà des intentions malveillantes.
Les experts en sécurité recommandent aux utilisateurs de vérifier l'ID des plugins installés pour confirmer s'ils sont de la version officielle. S'ils découvrent des plugins affectés installés, ils doivent immédiatement les mettre à jour vers la dernière version de sécurité ou les supprimer directement pour réduire les risques de sécurité.
Comment prévenir la falsification des plugins ?
Les extensions de navigateur ont toujours été un maillon faible en matière de sécurité en ligne. Pour éviter que les plugins ne soient altérés ou que des plugins malveillants ne soient téléchargés, les utilisateurs doivent prendre des mesures de protection en matière de sécurité sur trois aspects : l'installation, l'utilisation et la gestion.
Téléchargez les plugins uniquement depuis des sources officielles.
Privilégiez l'utilisation de la boutique officielle Chrome, ne faites pas confiance aux liens de téléchargement tiers trouvés sur internet.
Évitez d'utiliser des plugins "crackés" non vérifiés, de nombreux plugins modifiés peuvent avoir été implantés avec des portes dérobées.
Soyez vigilant face aux demandes de permissions des plugins
Accordez les autorisations avec prudence, certains plugins peuvent demander des autorisations inutiles, comme l'accès à l'historique de navigation, au presse-papiers, etc.
Si vous rencontrez une demande de plugin pour accéder à des informations sensibles, soyez particulièrement vigilant.
Vérifiez régulièrement les plugins installés
Entrez chrome://extensions/ dans la barre d'adresse de Chrome pour voir toutes les extensions installées.
Faites attention à la dernière date de mise à jour du plugin. Si le plugin n'a pas été mis à jour depuis longtemps mais qu'une nouvelle version est soudainement publiée, il faut se méfier d'une possible altération.
Vérifiez régulièrement les informations du développeur du plugin. Si le développeur du plugin change ou si les autorisations changent, soyez vigilant.
Utiliser des outils professionnels pour surveiller les flux de fonds et prévenir les pertes d'actifs.
En cas de soupçon de fuite de clé privée, vous pouvez utiliser des outils professionnels pour surveiller les transactions sur la chaîne et connaître rapidement le flux des fonds.
Pour les équipes de projet, en tant que développeurs et mainteneurs de plugins, des mesures de sécurité plus strictes devraient être prises pour prévenir les risques de modification malveillante, d'attaques par la chaîne d'approvisionnement, d'abus d'OAuth, etc.
Contrôle d'accès OAuth
Limitez la portée de l'autorisation, surveillez les journaux OAuth. Si le plug-in doit utiliser OAuth pour l'authentification, essayez d'utiliser un mécanisme de jetons temporaires + jetons de rafraîchissement pour éviter le stockage à long terme de jetons à haute autorité.
Renforcer la sécurité du compte Chrome Web Store
Le Chrome Web Store est le seul canal officiel de publication des extensions. Une fois qu'un compte développeur est compromis, un attaquant peut modifier l'extension et la pousser sur tous les appareils des utilisateurs. Il est donc crucial de renforcer la sécurité du compte, par exemple en activant l'authentification à deux facteurs (2FA) et en utilisant une gestion des permissions minimales.
Audit régulier
L'intégrité du code des plugins est au cœur de la protection contre la falsification pour l'équipe du projet. Il est conseillé de procéder régulièrement à des audits de sécurité.
Surveillance des plugins
L'équipe du projet doit non seulement s'assurer que la nouvelle version publiée est sécurisée, mais aussi surveiller en temps réel si le plugin a été détourné. En cas de problème, il faut retirer immédiatement la version malveillante, publier un avis de sécurité et informer les utilisateurs de désinstaller la version infectée.
Comment traiter les plugins infectés par du code malveillant ?
Si le plugin est infecté par un code malveillant ou si vous soupçonnez que le plugin pourrait présenter un risque, il est conseillé aux utilisateurs de prendre les mesures suivantes:
Retirer le plug-in immédiatement
Accédez à la page de gestion des extensions Chrome (chrome://extensions/), trouvez l'extension affectée et supprimez-la.
Supprimer complètement les données des plugins pour empêcher le code malveillant résiduel de continuer à s'exécuter.
Modifier les informations sensibles susceptibles d'être divulguées
Changez tous les mots de passe enregistrés de votre navigateur, en particulier ceux liés aux échanges de cryptomonnaies et aux comptes bancaires.
Créer un nouveau portefeuille et transférer des actifs en toute sécurité (si le plugin a accédé au portefeuille de cryptomonnaie).
Vérifiez si la clé API a été divulguée, et révoquez immédiatement l'ancienne clé API, demandez une nouvelle clé.
Scanner le système pour vérifier s'il y a des portes dérobées ou des logiciels malveillants
Exécutez un logiciel antivirus ou un outil anti-malware.
Vérifiez le fichier Hosts pour vous assurer qu'il n'a pas été modifié pour des adresses de serveurs malveillants.
Vérifiez le moteur de recherche par défaut et la page d'accueil de votre navigateur, certains plugins malveillants peuvent modifier ces paramètres.
Surveiller les comptes pour détecter des activités suspectes
Vérifiez l'historique de connexion des échanges et des comptes bancaires. Si des connexions par des IP suspectes sont détectées, il est nécessaire de changer immédiatement le mot de passe et d'activer l'authentification à deux facteurs (2FA).
Vérifiez les relevés de transactions du portefeuille crypto pour confirmer s'il y a des transferts anormaux.
Vérifiez si vos comptes de médias sociaux ont été compromis. Si vous remarquez des messages privés ou des publications anormales, changez immédiatement votre mot de passe.
Faire un retour aux autorités pour prévenir d'autres victimes.
Si vous constatez que le plugin a été modifié, vous pouvez contacter l'équipe de développement d'origine ou signaler à Chrome.
Vous pouvez contacter l'équipe de sécurité, publier des alertes de risque et rappeler à plus d'utilisateurs de faire attention à la sécurité.
Bien que les plugins de navigateur puissent améliorer l'expérience utilisateur, ils peuvent également devenir des points d'attaque pour les pirates, entraînant des risques de fuite de données et de perte d'actifs. Par conséquent, tout en profitant de la commodité, les utilisateurs doivent également rester vigilants et adopter de bonnes pratiques de sécurité, telles que l'installation et la gestion prudentes des plugins, la vérification régulière des autorisations et la mise à jour ou la suppression rapide des plugins suspects. En même temps, les développeurs et les plateformes doivent également renforcer les mesures de protection de la sécurité pour garantir la sécurité et la conformité des plugins. Ce n'est qu'en unissant les efforts des utilisateurs, des développeurs et des plateformes pour sensibiliser à la sécurité et mettre en œuvre des mesures de protection efficaces que les risques peuvent réellement être réduits et que la sécurité des données et des actifs peut être garantie.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
5
Reposter
Partager
Commentaire
0/400
CoffeeNFTrader
· 07-15 14:39
En le voyant ce matin, j'ai été terrifié, j'ai vite déchargé, j'avais la main qui tremblait.
Voir l'originalRépondre0
ApeWithNoChain
· 07-15 12:56
Le diable est dans les détails, il ne faut pas être négligent.
Voir l'originalRépondre0
MagicBean
· 07-12 16:42
Mon dieu, même les plugins peuvent être touchés ??
Voir l'originalRépondre0
SerumDegen
· 07-12 16:40
rekt af... je viens de perdre 12k à un hack d'extension chrome smh
Voir l'originalRépondre0
ArbitrageBot
· 07-12 16:32
Merde, le magasin Google n'est plus fiable, supprime, supprime, supprime
L'extension Chrome SwitchyOmega présente des risques de sécurité. Comment se prémunir contre les risques de modification?
Le célèbre plugin Chrome SwitchyOmega présente des vulnérabilités de sécurité, comment prévenir la modification du plugin ?
Récemment, des utilisateurs ont signalé que le plugin de commutation de proxy populaire SwitchyOmega pour Chrome pourrait présenter un risque de sécurité lié au vol de clés privées. Une enquête a révélé que ce problème existait déjà l'année dernière, mais certains utilisateurs n'ont peut-être pas remarqué l'avertissement et ont continué à utiliser une version compromise du plugin, faisant face à des menaces graves telles que la fuite de clés privées et le détournement de comptes. Cet article analysera cet incident de modification de plugin et explorera comment prévenir et répondre à des risques similaires.
Revue de l'événement
Cet événement est initialement né d'une enquête sur une attaque. Le 24 décembre 2024, un employé d'une entreprise a reçu un e-mail de phishing, ce qui a conduit à l'insertion de code malveillant dans le plugin de navigateur qu'il avait publié, essayant de voler les cookies et mots de passe du navigateur des utilisateurs. Une enquête indépendante a révélé que plus de 30 plugins sur le magasin de plugins Google avaient subi des attaques similaires, y compris Proxy SwitchOmega (V3).
Les e-mails de phishing prétendent que l'extension de navigateur de l'entreprise enfreint les conditions de Google et menacent que si aucune action n'est prise immédiatement, le plugin sera supprimé. Par sentiment d'urgence, l'employé a cliqué sur le lien de phishing dans l'e-mail et a autorisé une application OAuth appelée "Privacy Policy Extension". Une fois que l'attaquant a obtenu l'accès à l'application OAuth, il peut contrôler à distance le compte de la victime, modifiant les données de l'application sans avoir besoin de mot de passe.
Après avoir obtenu le contrôle d'un compte de la boutique d'applications Chrome, l'attaquant a téléchargé une nouvelle version de l'extension contenant du code malveillant et a profité du mécanisme de mise à jour automatique de Chrome pour faire en sorte que les utilisateurs affectés mettent à jour automatiquement vers la version malveillante à leur insu.
Les plugins malveillants contiennent deux fichiers, dont le fichier worker.js se connecte au serveur de commande et de contrôle, télécharge la configuration et la stocke dans le stockage local de Chrome, puis enregistre un écouteur pour écouter les événements provenant de content.js. La version malveillante, dans les 31 heures suivant son lancement, fera automatiquement télécharger et installer le code malveillant sur le navigateur Chrome exécutant cette extension.
Le rapport d'enquête indique que les plugins concernés par les attaques ont été téléchargés plus de 500 000 fois dans le magasin Google, et plus de 2,6 millions de données sensibles des appareils des utilisateurs ont été volées, représentant un risque de sécurité considérable pour les utilisateurs. Ces extensions modifiées ont été disponibles dans le magasin d'applications pendant jusqu'à 18 mois, et les utilisateurs victimes ont presque été incapables de réaliser que leurs données avaient été compromises.
En raison de la stratégie de mise à jour du Chrome Web Store qui ne prend progressivement plus en charge les extensions de version V2, l'extension officielle originale SwitchyOmega étant de version V2, elle se trouve également dans la zone non prise en charge. La version malveillante contaminée est de version V3, et son compte développeur est différent de celui du compte de la version originale V2. Par conséquent, il est impossible de confirmer si cette version a été publiée par l'officiel, ni de juger si le compte officiel a été piraté pour télécharger une version malveillante, ou si l'auteur de la version V3 avait déjà des intentions malveillantes.
Les experts en sécurité recommandent aux utilisateurs de vérifier l'ID des plugins installés pour confirmer s'ils sont de la version officielle. S'ils découvrent des plugins affectés installés, ils doivent immédiatement les mettre à jour vers la dernière version de sécurité ou les supprimer directement pour réduire les risques de sécurité.
Comment prévenir la falsification des plugins ?
Les extensions de navigateur ont toujours été un maillon faible en matière de sécurité en ligne. Pour éviter que les plugins ne soient altérés ou que des plugins malveillants ne soient téléchargés, les utilisateurs doivent prendre des mesures de protection en matière de sécurité sur trois aspects : l'installation, l'utilisation et la gestion.
Téléchargez les plugins uniquement depuis des sources officielles.
Soyez vigilant face aux demandes de permissions des plugins
Vérifiez régulièrement les plugins installés
Utiliser des outils professionnels pour surveiller les flux de fonds et prévenir les pertes d'actifs.
Pour les équipes de projet, en tant que développeurs et mainteneurs de plugins, des mesures de sécurité plus strictes devraient être prises pour prévenir les risques de modification malveillante, d'attaques par la chaîne d'approvisionnement, d'abus d'OAuth, etc.
Contrôle d'accès OAuth
Renforcer la sécurité du compte Chrome Web Store
Audit régulier
Surveillance des plugins
Comment traiter les plugins infectés par du code malveillant ?
Si le plugin est infecté par un code malveillant ou si vous soupçonnez que le plugin pourrait présenter un risque, il est conseillé aux utilisateurs de prendre les mesures suivantes:
Retirer le plug-in immédiatement
Modifier les informations sensibles susceptibles d'être divulguées
Scanner le système pour vérifier s'il y a des portes dérobées ou des logiciels malveillants
Surveiller les comptes pour détecter des activités suspectes
Faire un retour aux autorités pour prévenir d'autres victimes.
Bien que les plugins de navigateur puissent améliorer l'expérience utilisateur, ils peuvent également devenir des points d'attaque pour les pirates, entraînant des risques de fuite de données et de perte d'actifs. Par conséquent, tout en profitant de la commodité, les utilisateurs doivent également rester vigilants et adopter de bonnes pratiques de sécurité, telles que l'installation et la gestion prudentes des plugins, la vérification régulière des autorisations et la mise à jour ou la suppression rapide des plugins suspects. En même temps, les développeurs et les plateformes doivent également renforcer les mesures de protection de la sécurité pour garantir la sécurité et la conformité des plugins. Ce n'est qu'en unissant les efforts des utilisateurs, des développeurs et des plateformes pour sensibiliser à la sécurité et mettre en œuvre des mesures de protection efficaces que les risques peuvent réellement être réduits et que la sécurité des données et des actifs peut être garantie.