Chrome插件SwitchyOmega存安全隱患 如何防範被篡改風險

Chrome 知名插件 SwitchyOmega 存在安全隱患,如何防範插件被篡改?

近期,用戶反饋 Chrome 熱門代理切換插件 SwitchyOmega 可能存在竊取私鑰的安全風險。經調查發現,這一問題早在去年就已出現,但部分用戶可能未注意到警告,繼續使用了受污染版本的插件,面臨私鑰泄露和帳戶被劫持等嚴重威脅。本文將分析此次插件篡改事件,並探討如何預防和應對類似風險。

事件回顧

這一事件最初源於一起攻擊調查。2024年12月24日,一家公司的員工收到釣魚郵件,導致其發布的瀏覽器插件被植入惡意代碼,試圖竊取用戶的瀏覽器Cookie和密碼。獨立調查發現,谷歌插件商城中已有30多款插件受到類似攻擊,包括Proxy SwitchOmega (V3)。

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

釣魚郵件聲稱該公司的瀏覽器擴展違反了Google的相關條款,並威脅如不立即採取行動,插件將被撤銷。出於緊迫感,該員工點擊了郵件中的釣魚連結,並授權了一個名爲"Privacy Policy Extension"的OAuth應用。一旦攻擊者獲取OAuth應用的訪問權限,就能遠程控制受害者的帳戶,無需密碼即可修改應用數據。

攻擊者獲得Chrome應用商店帳號控制權後,上傳了包含惡意代碼的新版本擴展,並利用Chrome的自動更新機制,讓受影響用戶在不知情的情況下自動更新到惡意版本。

惡意插件包含兩個文件,其中worker.js文件會連接命令與控制服務器,下載配置並存儲在Chrome的本地存儲中,隨後註冊監聽器,監聽來自content.js的事件。惡意版本在上線31小時內,運行該擴展的Chrome瀏覽器會自動下載並安裝惡意代碼。

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

調查報告指出,這些受攻擊影響的插件在谷歌商店的累計下載量超過50萬次,超過260萬用戶設備中的敏感數據被竊取,對用戶構成了極大的安全風險。這些被篡改的擴展程序在應用商店中上架時間最長達18個月,而受害用戶幾乎無法察覺自己的數據已遭泄露。

由於Chrome商城的更新策略逐漸不支持V2版本的插件,而SwitchyOmega官方原版插件爲V2版本,因此也在不支持的範圍內。受污染的惡意版本爲V3版本,其開發者帳號與原版V2版本的帳號不同。因此,無法確認該版本是否由官方發布,也無法判斷是官方帳戶遭到黑客攻擊後上傳了惡意版本,還是V3版本的作者本身就存在惡意行爲。

安全專家建議用戶檢查已安裝插件的ID,以確認是否爲官方版本。如發現已安裝受影響的插件,應立即更新至最新的安全版本,或直接將其移除,以降低安全風險。

如何預防插件被篡改?

瀏覽器擴展程序一直是網路安全的薄弱環節。爲了避免插件被篡改或下載到惡意插件,用戶需要從安裝、使用、管理三個方面做好安全防護。

  1. 只從官方渠道下載插件

    • 優先使用Chrome官方商店,不要輕信網上的第三方下載連結。
    • 避免使用未經驗證的"破解版"插件,許多修改版插件可能已被植入後門。
  2. 警惕插件的權限請求

    • 謹慎授予權限,部分插件可能會索取不必要的權限,例如訪問瀏覽記錄、剪貼板等。
    • 遇到插件要求讀取敏感信息,務必提高警惕。
  3. 定期檢查已安裝的插件

    • 在Chrome地址欄輸入chrome://extensions/,查看所有已安裝的插件。
    • 關注插件的最近更新時間,如果插件長期未更新,卻突然發布新版本,需警惕可能被篡改。
    • 定期檢查插件的開發者信息,如果插件更換了開發者或權限發生變化,要提高警惕。
  4. 使用專業工具監控資金流向,防止資產損失

    • 若懷疑私鑰泄露,可以使用專業工具進行鏈上交易監控,及時了解資金流向。

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

對項目方而言,作爲插件的開發者和維護者,應該採取更嚴格的安全措施,防止惡意篡改、供應鏈攻擊、OAuth濫用等風險:

  1. OAuth訪問控制

    • 限制授權範圍,監測OAuth日志,如果插件需要使用OAuth進行身分驗證,盡量使用短時令牌+刷新令牌機制,避免長期存儲高權限Token。
  2. 增強Chrome Web Store帳戶安全性

    • Chrome Web Store是插件的唯一官方發布渠道,一旦開發者帳戶被攻破,攻擊者就能篡改插件並推送到所有用戶設備。因此,必須增強帳戶安全性,例如開啓2FA、使用最小權限管理。
  3. 定期審計

    • 插件代碼的完整性是項目方防篡改的核心,建議定期進行安全審計。
  4. 插件監測

    • 項目方不僅要確保發布的新版本安全,還需要實時監測插件是否被劫持,如發現問題第一時間撤下惡意版本,發布安全公告,通知用戶卸載受感染版本。

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

如何處理已被植入惡意代碼的插件?

如果發現插件已被惡意代碼感染,或者懷疑插件可能存在風險,建議用戶採取以下措施:

  1. 立即移除插件

    • 進入Chrome擴展管理頁面(chrome://extensions/),找到受影響的插件進行移除。
    • 徹底清除插件數據,以防止殘留的惡意代碼繼續運行。
  2. 更改可能泄露的敏感信息

    • 更換瀏覽器的所有已保存密碼,尤其是涉及加密貨幣交易所、銀行帳戶的密碼。
    • 創建新錢包並安全轉移資產(如果插件訪問了加密錢包)。
    • 檢查API Key是否泄露,並立即撤銷舊的API Key,申請新的密鑰。
  3. 掃描系統,檢查是否有後門或惡意軟件

    • 運行殺毒軟件或反惡意軟件工具。
    • 檢查Hosts文件,確保沒有被修改爲惡意服務器地址。
    • 查看瀏覽器的默認搜索引擎和首頁,有些惡意插件會篡改這些設置。
  4. 監測帳戶是否有異常活動

    • 檢查交易所、銀行帳戶的登入歷史,如果發現異常IP登入,需立即更換密碼並啓用2FA。
    • 檢查加密錢包的交易記錄,確認是否有異常轉帳。
    • 查看社交媒體帳戶是否被盜用,如果有異常私信或帖子,需立即更改密碼。
  5. 反饋給官方,防止更多用戶受害

    • 如果發現插件被篡改,可以聯繫原開發團隊或向Chrome官方舉報。
    • 可以聯繫安全團隊,發布風險預警,提醒更多用戶注意安全。

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

瀏覽器插件雖然能提升用戶體驗,但它們同樣可能成爲黑客攻擊的突破口,帶來數據泄露和資產損失的風險。因此,用戶在享受便利的同時,也需要保持警惕,養成良好的安全習慣,比如謹慎安裝和管理插件、定期檢查權限、及時更新或移除可疑插件等。與此同時,開發者和平台方也應強化安全防護措施,確保插件的安全性和合規性。只有用戶、開發者和平台共同努力,提升安全意識並落實有效的防護措施,才能真正降低風險,保障數據和資產的安全。

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

谷歌插件再出風險事件:SwitchyOmega被曝盜取私鑰,如何防範插件被篡改?

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 讚賞
  • 5
  • 分享
留言
0/400
CoffeeNFTradervip
· 07-15 14:39
早上一看就被这个吓到了 赶紧卸掉 手抖
回復0
ApeWithNoChainvip
· 07-15 12:56
真 魔鬼在细节 可不能大意了
回復0
MagicBeanvip
· 07-12 16:42
我的天 插件也能中招??
回復0
SerumDegenvip
· 07-12 16:40
被搞了... 刚刚因为一个浏览器扩展黑客损失了12千,真让人无语
查看原文回復0
无情的套利机器vip
· 07-12 16:32
卧槽谷歌商店不靠谱了啊 删删删
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)