Chrome插件安全問題再現：SwitchyOmega被指存在盜取私鑰風險

近期，有用戶反映Chrome瀏覽器知名代理切換插件SwitchyOmega可能存在盜取私鑰的安全隱患。經調查發現，這一安全問題並非首次出現，早在去年就已有相關警示。然而，部分用戶可能未留意這些警告，繼續使用了存在風險的插件版本，因此面臨私鑰泄露、帳戶被劫持等嚴重威脅。本文將詳細分析此次插件被篡改的情況，並探討如何預防插件篡改及應對惡意插件。

事件回顧

這起事件最早源於2024年12月24日的一次攻擊調查。某公司一名員工收到釣魚郵件後，其發布的瀏覽器插件被植入惡意代碼，試圖竊取用戶瀏覽器的Cookie和密碼並上傳至攻擊者服務器。經專業安全公司調查，谷歌插件商城中已有30多款插件遭受類似攻擊，包括Proxy SwitchOmega (V3)。

釣魚郵件聲稱該公司發布的瀏覽器擴展程序違反了Google的相關條款，並威脅如不立即採取行動，插件將被下架。出於緊迫感，該員工點擊了郵件中的釣魚連結，並授權了一個名爲"Privacy Policy Extension"的OAuth應用。OAuth的主要風險在於，一旦攻擊者獲取了OAuth應用的訪問權限，就能遠程控制受害者的帳戶，在無需密碼的情況下修改應用數據。

攻擊者獲得Chrome應用商店帳號控制權後，上傳了含惡意代碼的新版本擴展，並利用Chrome的自動更新機制，使受影響用戶在不知情的情況下自動更新到惡意版本。

惡意插件包含兩個關鍵文件，其中worker.js文件會連接至命令與控制服務器，下載配置並存儲在Chrome的本地存儲中，隨後註冊監聽器以監聽來自content.js的事件。這個惡意版本的擴展程序(版本號24.10.4)於12月25日凌晨1:32(UTC)上線，並於12月26日凌晨2:50(UTC)被撤下，存在時間共31小時。在此期間，運行該擴展的Chrome瀏覽器會自動下載並安裝惡意代碼。

安全公司的調查報告指出，這些受攻擊影響的插件在谷歌商店的累計下載量超過50萬次，超過260萬用戶設備中的敏感數據被竊取，對用戶構成了極大的安全風險。這些被篡改的擴展程序在Google Chrome應用商店中上架時間最長達18個月，而受害用戶在此期間幾乎無法察覺自己的數據已遭泄露。

由於Chrome商城的更新策略逐漸不支持V2版本的插件，而SwitchyOmega官方原版插件爲V2版本，因此也在不支持的範圍內。受污染的惡意版本爲V3版本，其開發者帳號與原版V2版本的帳號不同。因此，無法確認該版本是否由官方發布，也無法判斷是官方帳戶遭到黑客攻擊後上傳了惡意版本，還是V3版本的作者本身就存在惡意行爲。

安全專家建議用戶檢查已安裝插件的ID，以確認是否爲官方版本。如果發現已安裝受影響的插件，應立即更新至最新的安全版本，或直接將其移除，以降低安全風險。

如何預防插件被篡改？

瀏覽器擴展程序一直是網路安全的薄弱環節。爲了避免插件被篡改或下載到惡意插件，用戶需要從安裝、使用、管理三個方面做好安全防護。

1. 只從官方渠道下載插件

   • 優先使用Chrome官方商店，不要輕信網上的第三方下載連結。
   • 避免使用未經驗證的"破解版"插件，許多修改版插件可能已被植入後門。

2. 警惕插件的權限請求

   • 謹慎授予權限，部分插件可能會索取不必要的權限，例如訪問瀏覽記錄、剪貼板等。
   • 遇到插件要求讀取敏感信息，務必提高警惕。

3. 定期檢查已安裝的插件

   • 在Chrome地址欄輸入chrome://extensions/，查看所有已安裝的插件。
   • 關注插件的最近更新時間，如果插件長期未更新，卻突然發布新版本，需警惕可能被篡改。
   • 定期檢查插件的開發者信息，如果插件更換了開發者或權限發生變化，要提高警惕。

4. 使用專業工具監控資金流向，防止資產損失

   • 若懷疑私鑰泄露，可以使用專業工具進行鏈上交易監控，及時了解資金流向。

對項目方而言，作爲插件的開發者和維護者，應該採取更嚴格的安全措施，防止惡意篡改、供應鏈攻擊、OAuth濫用等風險：

1. OAuth訪問控制

   • 限制授權範圍，監測OAuth日志，如果插件需要使用OAuth進行身分驗證，盡量使用短時令牌(Short-lived Token) + 刷新令牌(Refresh Token)機制，避免長期存儲高權限Token。

2. 增強Chrome Web Store帳戶安全性

   • Chrome Web Store是插件的唯一官方發布渠道，一旦開發者帳戶被攻破，攻擊者就能篡改插件並推送到所有用戶設備。因此，必須增強帳戶安全性，例如開啓2FA、使用最小權限管理。

3. 定期審計

   • 插件代碼的完整性是項目方防篡改的核心，建議定期進行安全審計。

4. 插件監測

   • 項目方不僅要確保發布的新版本安全，還需要實時監測插件是否被劫持，如發現問題第一時間撤下惡意版本，發布安全公告，通知用戶卸載受感染版本。

如何處理已被植入惡意代碼的插件？

如果發現插件已被惡意代碼感染，或者懷疑插件可能存在風險，建議用戶採取以下措施：

1. 立即移除插件

   • 進入Chrome擴展管理頁面(chrome://extensions/)，找到受影響的插件進行移除。
   • 徹底清除插件數據，以防止殘留的惡意代碼繼續運行。

2. 更改可能泄露的敏感信息

   • 更換瀏覽器的所有已保存密碼，尤其是涉及加密貨幣交易所、銀行帳戶的密碼。
   • 創建新錢包並安全轉移資產（如果插件訪問了加密錢包）。
   • 檢查API Key是否泄露，並立即撤銷舊的API Key，申請新的密鑰。

3. 掃描系統，檢查是否有後門或惡意軟件

   • 運行殺毒軟件或反惡意軟件工具（如Windows Defender、AVG、Malwarebytes）。
   • 檢查Hosts文件(C:\Windows\System32\drivers\etc\hosts)，確保沒有被修改爲惡意服務器地址。
   • 查看瀏覽器的默認搜索引擎和首頁，有些惡意插件會篡改這些設置。

4. 監測帳戶是否有異常活動

   • 檢查交易所、銀行帳戶的登入歷史，如果發現異常IP登入，需立即更換密碼並啓用2FA。
   • 檢查加密錢包的交易記錄，確認是否有異常轉帳。
   • 查看社交媒體帳戶是否被盜用，如果有異常私信或帖子，需立即更改密碼。

5. 反饋給官方，防止更多用戶受害

   • 如果發現插件被篡改，可以聯繫原開發團隊或向Chrome官方舉報。
   • 可以聯繫安全團隊，發布風險預警，提醒更多用戶注意安全。

瀏覽器插件雖然能提升用戶體驗，但它們同樣可能成爲黑客攻擊的突破口，帶來數據泄露和資產損失的風險。因此，用戶在享受便利的同時，也需要保持警惕，養成良好的安全習慣，比如謹慎安裝和管理插件、定期檢查權限、及時更新或移除可疑插件等。與此同時，開發者和平台方也應強化安全防護措施，確保插件的安全性和合規性。只有用戶、開發者和平台共同努力，提升安全意識並落實有效的防護措施，才能真正降低風險，保障數據和資產的安全。