O conhecido plugin Chrome SwitchyOmega apresenta riscos de segurança, como prevenir que o plugin seja alterado?
Recentemente, os usuários relataram que o popular plugin de troca de proxy do Chrome, SwitchyOmega, pode ter um risco de segurança de roubo de chaves privadas. Após investigação, descobrimos que esse problema já existia desde o ano passado, mas alguns usuários podem não ter notado o aviso e continuaram a usar a versão contaminada do plugin, enfrentando sérias ameaças de vazamento de chaves privadas e sequestro de contas. Este artigo analisará o incidente de adulteração do plugin e discutirá como prevenir e responder a riscos semelhantes.
Revisão do evento
Este incidente teve origem numa investigação de um ataque. No dia 24 de dezembro de 2024, um funcionário de uma empresa recebeu um e-mail de phishing, resultando na inserção de código malicioso no plugin de navegador que publicaram, tentando roubar os cookies e senhas do navegador dos usuários. Uma investigação independente descobriu que mais de 30 plugins na loja de plugins do Google já tinham sido alvo de ataques semelhantes, incluindo Proxy SwitchOmega (V3).
Os e-mails de phishing alegam que a extensão do navegador da empresa viola os termos relevantes do Google e ameaçam que, se não forem tomadas medidas imediatamente, o plugin será revogado. Com um senso de urgência, o funcionário clicou no link de phishing contido no e-mail e autorizou um aplicativo OAuth chamado "Privacy Policy Extension". Assim que os atacantes obtêm acesso ao aplicativo OAuth, conseguem controlar remotamente a conta da vítima, podendo modificar os dados do aplicativo sem precisar da senha.
Depois que o atacante obteve o controle da conta da loja de aplicativos do Chrome, ele carregou uma nova versão da extensão que continha código malicioso e aproveitou o mecanismo de atualização automática do Chrome, fazendo com que os usuários afetados atualizassem automaticamente para a versão maliciosa sem saber.
Os plugins maliciosos contêm dois arquivos, sendo que o arquivo worker.js se conecta ao servidor de comando e controle, baixa a configuração e armazena-a no armazenamento local do Chrome, em seguida, registra um ouvinte para escutar os eventos do content.js. A versão maliciosa, dentro de 31 horas após o lançamento, fará com que o navegador Chrome que executa essa extensão baixe e instale automaticamente o código malicioso.
O relatório de investigação indica que os plugins afetados por este ataque tiveram um total de mais de 500.000 downloads na loja do Google, com dados sensíveis de mais de 2,6 milhões de dispositivos de usuários sendo roubados, o que representa um grande risco de segurança para os usuários. Estes extensões adulteradas estiveram disponíveis na loja de aplicativos por até 18 meses, enquanto os usuários afetados quase não conseguiram perceber que seus dados haviam sido vazados.
Devido à estratégia de atualização da loja Chrome, que gradualmente não suporta plugins da versão V2, o plugin oficial original SwitchyOmega também se encontra na lista de não suportados, uma vez que é da versão V2. A versão maliciosa e contaminada é da versão V3, cujo conta do desenvolvedor é diferente da conta do original V2. Portanto, não é possível confirmar se esta versão foi lançada oficialmente, nem determinar se a conta oficial foi hackeada e a versão maliciosa foi carregada, ou se o autor da versão V3 já apresentava comportamentos maliciosos.
Os especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente, a fim de reduzir os riscos de segurança.
Como prevenir a adulteração de plugins?
As extensões de navegador sempre foram um ponto fraco na segurança online. Para evitar que os plugins sejam alterados ou que plugins maliciosos sejam baixados, os usuários precisam garantir a proteção de segurança em três áreas: instalação, uso e gestão.
Apenas faça o download de plugins a partir de canais oficiais
Priorize o uso da loja oficial do Chrome e não confie em links de download de terceiros na internet.
Evite usar plugins "crackeados" não verificados, muitos plugins modificados podem ter portas traseiras incorporadas.
Esteja atento aos pedidos de permissões dos plugins
Conceda permissões com cautela, alguns plugins podem solicitar permissões desnecessárias, como acessar histórico de navegação, área de transferência, etc.
Ao encontrar um plugin que solicita a leitura de informações sensíveis, deve-se ter cautela.
Verifique regularmente os plugins instalados
Na barra de endereços do Chrome, digite chrome://extensions/ para ver todas as extensões instaladas.
Preste atenção à data de atualização mais recente do plugin. Se o plugin não for atualizado há muito tempo e de repente uma nova versão for lançada, deve-se estar alerta para a possibilidade de ter sido adulterado.
Verifique regularmente as informações do desenvolvedor do plugin; se o desenvolvedor do plugin mudar ou as permissões mudarem, deve-se estar alerta.
Utilizar ferramentas profissionais para monitorizar o fluxo de fundos, evitando perdas de ativos.
Se suspeitar de vazamento da chave privada, pode usar ferramentas profissionais para monitorar transações na blockchain e entender rapidamente o fluxo de fundos.
Para os desenvolvedores e mantenedores do plugin, é necessário adotar medidas de segurança mais rigorosas para prevenir riscos de adulteração maliciosa, ataques à cadeia de suprimentos, abuso de OAuth, entre outros:
Controle de Acesso OAuth
Limitar o âmbito da autorização, monitorizar os registos OAuth, se o plugin precisar de utilizar OAuth para autenticação, tente usar um mecanismo de token de curta duração + token de atualização, evitando o armazenamento a longo prazo de tokens de alta permissão.
Aumentar a segurança da conta do Chrome Web Store
A Chrome Web Store é o único canal oficial de distribuição de plugins. Uma vez que a conta do desenvolvedor é comprometida, o atacante pode alterar o plugin e enviá-lo para todos os dispositivos dos usuários. Portanto, é necessário aumentar a segurança da conta, como ativar a 2FA e usar a gestão de permissões mínimas.
Auditoria regular
A integridade do código do plugin é o cerne da proteção contra adulterações por parte do projeto, recomenda-se realizar auditorias de segurança regularmente.
Monitorização de Plugins
A equipe do projeto não só deve garantir que a nova versão lançada seja segura, mas também precisa monitorar em tempo real se o plugin foi sequestrado; se algum problema for detectado, deve retirar imediatamente a versão maliciosa, publicar um aviso de segurança e notificar os usuários a desinstalar a versão infectada.
Como lidar com plugins que foram implantados com código malicioso?
Se descobrir que o plugin foi infectado com código malicioso, ou suspeitar que o plugin pode apresentar riscos, recomenda-se que os usuários tomem as seguintes medidas:
Remover o plugin imediatamente
Aceda à página de gestão de extensões do Chrome ( chrome://extensions/), encontre a extensão afetada e remova-a.
Remover completamente os dados do plugin para evitar que o código malicioso residual continue a ser executado.
Alterar informações sensíveis que podem ser divulgadas
Mude todas as senhas salvas do navegador, especialmente as senhas relacionadas a exchanges de criptomoedas e contas bancárias.
Criar uma nova carteira e transferir ativos com segurança (se o plugin acessou a carteira de criptomoedas).
Verifique se a chave API foi exposta, revogue imediatamente a chave API antiga e solicite uma nova chave.
Escanear o sistema para verificar se há backdoors ou malware
Execute um software antivírus ou uma ferramenta contra malware.
Verifique o arquivo Hosts para garantir que não foi alterado para endereços de servidores maliciosos.
Verifique o motor de busca e a página inicial padrão do navegador, pois alguns plugins maliciosos podem alterar essas definições.
Monitorizar se a conta tem atividades anómalas
Verifique o histórico de login da exchange e da conta bancária; se encontrar um login de IP anômalo, deve mudar a senha imediatamente e ativar a 2FA.
Verifique o histórico de transações da carteira de criptomoedas para confirmar se há transferências anómalas.
Verifique se as contas de redes sociais foram comprometidas; se houver mensagens privadas ou postagens suspeitas, é necessário alterar a senha imediatamente.
Feedback para a equipe oficial, para evitar que mais usuários sejam prejudicados.
Se descobrir que o plugin foi alterado, pode contactar a equipa de desenvolvimento original ou denunciar à oficial do Chrome.
Pode contactar a equipa de segurança, emitir um aviso de risco e alertar mais utilizadores para a segurança.
Embora as extensões de navegador possam melhorar a experiência do usuário, elas também podem se tornar um ponto de ataque para hackers, trazendo riscos de vazamento de dados e perda de ativos. Portanto, enquanto os usuários desfrutam da conveniência, também precisam permanecer vigilantes e adotar bons hábitos de segurança, como instalar e gerenciar extensões com cautela, verificar permissões regularmente e atualizar ou remover extensões suspeitas em tempo hábil. Ao mesmo tempo, desenvolvedores e plataformas devem reforçar as medidas de segurança para garantir a segurança e conformidade das extensões. Somente com o esforço conjunto de usuários, desenvolvedores e plataformas para aumentar a conscientização sobre segurança e implementar medidas de proteção eficazes é que se pode realmente reduzir os riscos e proteger a segurança dos dados e ativos.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
5
Repostar
Compartilhar
Comentário
0/400
CoffeeNFTrader
· 07-15 14:39
De manhã, fiquei assustado ao ver isso, rapidamente desinstalei, minhas mãos tremiam.
Ver originalResponder0
ApeWithNoChain
· 07-15 12:56
O diabo está nos detalhes, não podemos ser descuidados.
Ver originalResponder0
MagicBean
· 07-12 16:42
Meu Deus, até os plugins podem ser afetados??
Ver originalResponder0
SerumDegen
· 07-12 16:40
rekt af... acabei de perder 12k devido a um hack de extensão do chrome smh
Ver originalResponder0
ArbitrageBot
· 07-12 16:32
Caramba, a loja do Google não é confiável agora. Apague, apague, apague.
O plugin Chrome SwitchyOmega apresenta riscos de segurança. Como prevenir o risco de ser alterado.
O conhecido plugin Chrome SwitchyOmega apresenta riscos de segurança, como prevenir que o plugin seja alterado?
Recentemente, os usuários relataram que o popular plugin de troca de proxy do Chrome, SwitchyOmega, pode ter um risco de segurança de roubo de chaves privadas. Após investigação, descobrimos que esse problema já existia desde o ano passado, mas alguns usuários podem não ter notado o aviso e continuaram a usar a versão contaminada do plugin, enfrentando sérias ameaças de vazamento de chaves privadas e sequestro de contas. Este artigo analisará o incidente de adulteração do plugin e discutirá como prevenir e responder a riscos semelhantes.
Revisão do evento
Este incidente teve origem numa investigação de um ataque. No dia 24 de dezembro de 2024, um funcionário de uma empresa recebeu um e-mail de phishing, resultando na inserção de código malicioso no plugin de navegador que publicaram, tentando roubar os cookies e senhas do navegador dos usuários. Uma investigação independente descobriu que mais de 30 plugins na loja de plugins do Google já tinham sido alvo de ataques semelhantes, incluindo Proxy SwitchOmega (V3).
Os e-mails de phishing alegam que a extensão do navegador da empresa viola os termos relevantes do Google e ameaçam que, se não forem tomadas medidas imediatamente, o plugin será revogado. Com um senso de urgência, o funcionário clicou no link de phishing contido no e-mail e autorizou um aplicativo OAuth chamado "Privacy Policy Extension". Assim que os atacantes obtêm acesso ao aplicativo OAuth, conseguem controlar remotamente a conta da vítima, podendo modificar os dados do aplicativo sem precisar da senha.
Depois que o atacante obteve o controle da conta da loja de aplicativos do Chrome, ele carregou uma nova versão da extensão que continha código malicioso e aproveitou o mecanismo de atualização automática do Chrome, fazendo com que os usuários afetados atualizassem automaticamente para a versão maliciosa sem saber.
Os plugins maliciosos contêm dois arquivos, sendo que o arquivo worker.js se conecta ao servidor de comando e controle, baixa a configuração e armazena-a no armazenamento local do Chrome, em seguida, registra um ouvinte para escutar os eventos do content.js. A versão maliciosa, dentro de 31 horas após o lançamento, fará com que o navegador Chrome que executa essa extensão baixe e instale automaticamente o código malicioso.
O relatório de investigação indica que os plugins afetados por este ataque tiveram um total de mais de 500.000 downloads na loja do Google, com dados sensíveis de mais de 2,6 milhões de dispositivos de usuários sendo roubados, o que representa um grande risco de segurança para os usuários. Estes extensões adulteradas estiveram disponíveis na loja de aplicativos por até 18 meses, enquanto os usuários afetados quase não conseguiram perceber que seus dados haviam sido vazados.
Devido à estratégia de atualização da loja Chrome, que gradualmente não suporta plugins da versão V2, o plugin oficial original SwitchyOmega também se encontra na lista de não suportados, uma vez que é da versão V2. A versão maliciosa e contaminada é da versão V3, cujo conta do desenvolvedor é diferente da conta do original V2. Portanto, não é possível confirmar se esta versão foi lançada oficialmente, nem determinar se a conta oficial foi hackeada e a versão maliciosa foi carregada, ou se o autor da versão V3 já apresentava comportamentos maliciosos.
Os especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente, a fim de reduzir os riscos de segurança.
Como prevenir a adulteração de plugins?
As extensões de navegador sempre foram um ponto fraco na segurança online. Para evitar que os plugins sejam alterados ou que plugins maliciosos sejam baixados, os usuários precisam garantir a proteção de segurança em três áreas: instalação, uso e gestão.
Apenas faça o download de plugins a partir de canais oficiais
Esteja atento aos pedidos de permissões dos plugins
Verifique regularmente os plugins instalados
Utilizar ferramentas profissionais para monitorizar o fluxo de fundos, evitando perdas de ativos.
Para os desenvolvedores e mantenedores do plugin, é necessário adotar medidas de segurança mais rigorosas para prevenir riscos de adulteração maliciosa, ataques à cadeia de suprimentos, abuso de OAuth, entre outros:
Controle de Acesso OAuth
Aumentar a segurança da conta do Chrome Web Store
Auditoria regular
Monitorização de Plugins
Como lidar com plugins que foram implantados com código malicioso?
Se descobrir que o plugin foi infectado com código malicioso, ou suspeitar que o plugin pode apresentar riscos, recomenda-se que os usuários tomem as seguintes medidas:
Remover o plugin imediatamente
Alterar informações sensíveis que podem ser divulgadas
Escanear o sistema para verificar se há backdoors ou malware
Monitorizar se a conta tem atividades anómalas
Feedback para a equipe oficial, para evitar que mais usuários sejam prejudicados.
Embora as extensões de navegador possam melhorar a experiência do usuário, elas também podem se tornar um ponto de ataque para hackers, trazendo riscos de vazamento de dados e perda de ativos. Portanto, enquanto os usuários desfrutam da conveniência, também precisam permanecer vigilantes e adotar bons hábitos de segurança, como instalar e gerenciar extensões com cautela, verificar permissões regularmente e atualizar ou remover extensões suspeitas em tempo hábil. Ao mesmo tempo, desenvolvedores e plataformas devem reforçar as medidas de segurança para garantir a segurança e conformidade das extensões. Somente com o esforço conjunto de usuários, desenvolvedores e plataformas para aumentar a conscientização sobre segurança e implementar medidas de proteção eficazes é que se pode realmente reduzir os riscos e proteger a segurança dos dados e ativos.