Problema de segurança do plugin Chrome reaparece: SwitchyOmega é acusado de existir risco de roubo de Chave privada
Recentemente, alguns usuários relataram que o conhecido plugin de troca de proxies do navegador Chrome, SwitchyOmega, pode ter uma vulnerabilidade de segurança que rouba a chave privada. Após investigação, descobriu-se que este problema de segurança não é novo, tendo já havido avisos relacionados no ano passado. No entanto, alguns usuários podem não ter prestado atenção a esses avisos e continuaram a usar versões do plugin que apresentam riscos, enfrentando assim ameaças sérias como o vazamento da chave privada e o sequestro de contas. Este artigo irá analisar detalhadamente a situação de adulteração do plugin e discutir como prevenir a adulteração de plugins e lidar com plugins maliciosos.
Recapitulação do Evento
O incidente resultou de uma investigação de ataque em 24 de dezembro de 2024. Depois de receber um e-mail de phishing, um funcionário de uma empresa publicou um plug-in de navegador que foi implantado com código malicioso na tentativa de roubar o cookie e a senha do navegador do usuário e enviá-lo para o servidor do invasor. De acordo com uma investigação de uma empresa de segurança profissional, mais de 30 plug-ins na Google Add-ons Store sofreram ataques semelhantes, incluindo o Proxy SwitchOmega (V3).
O e-mail de phishing afirma que a extensão do navegador lançada pela empresa viola os termos do Google e ameaça remover o complemento se nenhuma ação imediata for tomada. Por urgência, o funcionário clicou no link de phishing no e-mail e autorizou um aplicativo OAuth chamado "Extensão da Política de Privacidade". O principal risco do OAuth é que, uma vez que um invasor obtém acesso a um aplicativo OAuth, ele pode assumir remotamente o controle da conta da vítima e modificar os dados do aplicativo sem a necessidade de uma senha.
Após obter o controle da conta da loja de aplicações Chrome, o atacante carregou uma nova versão da extensão contendo código malicioso e utilizou o mecanismo de atualização automática do Chrome, fazendo com que os usuários afetados atualizassem automaticamente para a versão maliciosa sem saber.
O plugin malicioso contém dois arquivos-chave, sendo que o arquivo worker.js se conecta ao servidor de comando e controle, baixa a configuração e a armazena no armazenamento local do Chrome, registrando posteriormente um listener para escutar eventos do content.js. Esta versão maliciosa da extensão (, versão 24.10.4), foi lançada à 1:32 UTC em 25 de dezembro e retirada à 2:50 UTC em 26 de dezembro, com um tempo total de existência de 31 horas. Durante esse período, o navegador Chrome que executava a extensão baixaria e instalaria automaticamente o código malicioso.
O relatório de investigação da empresa de segurança indica que os plugins afetados pelos ataques tiveram um total de mais de 500 mil downloads na loja do Google, e mais de 2,6 milhões de dispositivos de usuários tiveram dados sensíveis roubados, representando um grande risco de segurança para os usuários. Estes extensões adulteradas estiveram disponíveis na loja de aplicações do Google Chrome por um período máximo de 18 meses, enquanto os usuários vítimas quase não perceberam que seus dados haviam sido divulgados.
Devido à estratégia de atualização da loja Chrome que gradualmente deixa de suportar plugins da versão V2, o plugin oficial original SwitchyOmega também está nessa faixa de não suporte, uma vez que é da versão V2. A versão maliciosa contaminada é da versão V3, cujo conta do desenvolvedor é diferente da conta da versão original V2. Portanto, não é possível confirmar se essa versão foi lançada oficialmente, nem avaliar se a conta oficial foi atacada por hackers e a versão maliciosa foi carregada, ou se o autor da versão V3 já tinha comportamentos maliciosos.
Os especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente, a fim de reduzir os riscos de segurança.
Como prevenir a alteração de plugins?
As extensões de navegador sempre foram um ponto fraco na segurança da web. Para evitar que os plugins sejam alterados ou baixados de plugins maliciosos, os usuários precisam garantir a proteção de segurança em três aspectos: instalação, uso e gestão.
Baixe apenas plugins de canais oficiais
Priorize o uso da loja oficial do Chrome, não confie em links de download de terceiros encontrados na internet.
Evite usar plugins "rachados" não verificados, muitos dos quais podem ter sido plantados com backdoors.
Esteja atento às solicitações de permissões dos plugins
Conceda permissões com cautela, alguns plugins podem solicitar permissões desnecessárias, como acessar o histórico de navegação, a área de transferência, etc.
Ao encontrar um plugin que solicita a leitura de informações sensíveis, é imprescindível manter-se alerta.
Verifique regularmente os plugins instalados
Digite chrome://extensions/ na barra de endereços do Chrome para ver todas as extensões instaladas.
Preste atenção à data da última atualização do plugin; se o plugin não for atualizado há muito tempo e de repente for lançada uma nova versão, deve-se ter cuidado com a possibilidade de ter sido alterado.
Verifique as informações do desenvolvedor do plugin regularmente, e esteja atento se o plugin muda de desenvolvedores ou as permissões mudam.
Use ferramentas profissionais para monitorar o fluxo de fundos e evitar a perda de ativos
Se suspeitar de um vazamento da chave privada, pode usar ferramentas profissionais para monitorização de transações em cadeia e entender rapidamente o fluxo de fundos.
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-0d985041e03763c9f71cc47441f5bc40.webp)
Como desenvolvedor e mantenedor do plug-in, a equipe do projeto deve tomar medidas de segurança mais rigorosas para evitar riscos como adulteração maliciosa, ataques à cadeia de suprimentos e abuso de OAuth.
Controlo de acesso OAuth
Limitar o escopo da autorização, monitorar logs OAuth, se o plugin precisa usar OAuth para autenticação, tente usar o token de curta duração (Short-lived Token) + refresh token (Refresh Token) mecanismo, Evite o armazenamento de longo prazo de tokens de alto privilégio.
Aumentar a segurança da conta do Chrome Web Store
A Chrome Web Store é o único canal oficial de distribuição de extensões. Assim que a conta do desenvolvedor for comprometida, o atacante poderá alterar a extensão e enviá-la para todos os dispositivos dos usuários. Portanto, é necessário aumentar a segurança da conta, como ativar a 2FA e usar a gestão de permissões mínimas.
Auditoria regular
A integridade do código do plug-in é o núcleo da inviolabilidade da equipe do projeto, e recomenda-se a realização regular de auditorias de segurança.
Monitorização de plug-ins
A equipe do projeto não só precisa garantir a segurança da nova versão lançada, mas também precisa monitorar se o plug-in foi sequestrado em tempo real, remover a versão maliciosa assim que um problema for encontrado, emitir um boletim de segurança e notificar os usuários para desinstalar a versão infetada.
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)
O que fazer com plugins que foram implantados com código malicioso?
Se você achar que um plugin foi infetado com código malicioso, ou se você suspeitar que um plugin pode ser arriscado, recomendamos que você tome as seguintes ações:
Remover o plugin imediatamente
Aceda à página de gestão de extensões do Chrome (chrome://extensions/), encontre a extensão afetada e remova-a.
Remover completamente os dados do plugin, para evitar que código malicioso residual continue a ser executado.
Alterar informações sensíveis que possam ser divulgadas
Altere todas as senhas salvas para o seu navegador, especialmente aquelas relacionadas a trocas de criptomoedas, contas bancárias.
Criar uma nova carteira e transferir ativos com segurança (se o plugin acessou a carteira de criptomoedas).
Verifique se a chave da API vazou, revogue a chave da API antiga imediatamente e solicite uma nova.
Escanear o sistema, verificar se há backdoors ou malware
Execute software antivírus ou ferramentas de anti-malware (como Windows Defender, AVG, Malwarebytes).
Verifique o arquivo Hosts(C:\Windows\System32\drivers\etc\hosts) e certifique-se de que não foi modificado para endereços de servidores maliciosos.
Verifique o motor de busca e a página inicial padrão do navegador, alguns plugins maliciosos podem alterar essas configurações.
Monitorizar se a conta tem atividades anormais
Verifique o histórico de login da exchange e da conta bancária; se encontrar logins de IPs anômalos, deve imediatamente alterar a senha e ativar a 2FA.
Verifique o histórico de transações da carteira de criptomoedas e confirme se há transferências anormais.
Verifique se as contas de redes sociais foram comprometidas; se houver mensagens diretas ou publicações suspeitas, deve mudar a senha imediatamente.
Feedback para as autoridades, para evitar que mais utilizadores sejam prejudicados.
Se descobrir que o plugin foi alterado, pode contactar a equipa de desenvolvimento original ou denunciar ao Chrome oficial.
Pode contactar a equipa de segurança, emitir um alerta de risco e avisar mais utilizadores para terem cuidado com a segurança.
Embora os complementos do navegador possam melhorar a experiência do usuário, eles também podem ser um avanço para os hackers, arriscando violações de dados e perda de ativos. Portanto, enquanto desfrutam da conveniência, os usuários também precisam estar vigilantes e desenvolver bons hábitos de segurança, como instalar e gerenciar plugins cuidadosamente, verificar as permissões regularmente e atualizar ou remover plugins suspeitos em tempo hábil. Ao mesmo tempo, os desenvolvedores e as plataformas também devem reforçar as medidas de segurança para garantir a segurança e a conformidade dos plug-ins. Somente quando usuários, desenvolvedores e plataformas trabalham juntos para aumentar a conscientização sobre segurança e implementar medidas de proteção eficazes, podemos realmente reduzir os riscos e garantir a segurança dos dados e ativos.
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-79cda6aad1b8373145d89f5169d1faf1.webp)
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
6
Partilhar
Comentar
0/400
MissedAirdropAgain
· 07-19 23:40
Quando é que vou perder com Chave privada e Nó novamente?
Ver originalResponder0
GweiObserver
· 07-18 01:39
Nem todos os plugins são confiáveis.
Ver originalResponder0
MemeCurator
· 07-17 00:26
Uuuu, está a roubar peixes novamente.
Ver originalResponder0
Web3Educator
· 07-17 00:19
caramba, o switchyomega também? para ser honesto, as extensões do chrome estão muito suspeitas agora.
Ver originalResponder0
GasFeeCrier
· 07-17 00:12
Descarregue rapidamente
Ver originalResponder0
DYORMaster
· 07-17 00:10
Demorou vários anos para que este problema explodisse de repente? Em pânico
O plugin Chrome SwitchyOmega apresenta risco de vazamento da chave privada, alertando os usuários para a necessidade de se proteger.
Problema de segurança do plugin Chrome reaparece: SwitchyOmega é acusado de existir risco de roubo de Chave privada
Recentemente, alguns usuários relataram que o conhecido plugin de troca de proxies do navegador Chrome, SwitchyOmega, pode ter uma vulnerabilidade de segurança que rouba a chave privada. Após investigação, descobriu-se que este problema de segurança não é novo, tendo já havido avisos relacionados no ano passado. No entanto, alguns usuários podem não ter prestado atenção a esses avisos e continuaram a usar versões do plugin que apresentam riscos, enfrentando assim ameaças sérias como o vazamento da chave privada e o sequestro de contas. Este artigo irá analisar detalhadamente a situação de adulteração do plugin e discutir como prevenir a adulteração de plugins e lidar com plugins maliciosos.
Recapitulação do Evento
O incidente resultou de uma investigação de ataque em 24 de dezembro de 2024. Depois de receber um e-mail de phishing, um funcionário de uma empresa publicou um plug-in de navegador que foi implantado com código malicioso na tentativa de roubar o cookie e a senha do navegador do usuário e enviá-lo para o servidor do invasor. De acordo com uma investigação de uma empresa de segurança profissional, mais de 30 plug-ins na Google Add-ons Store sofreram ataques semelhantes, incluindo o Proxy SwitchOmega (V3).
O e-mail de phishing afirma que a extensão do navegador lançada pela empresa viola os termos do Google e ameaça remover o complemento se nenhuma ação imediata for tomada. Por urgência, o funcionário clicou no link de phishing no e-mail e autorizou um aplicativo OAuth chamado "Extensão da Política de Privacidade". O principal risco do OAuth é que, uma vez que um invasor obtém acesso a um aplicativo OAuth, ele pode assumir remotamente o controle da conta da vítima e modificar os dados do aplicativo sem a necessidade de uma senha.
Após obter o controle da conta da loja de aplicações Chrome, o atacante carregou uma nova versão da extensão contendo código malicioso e utilizou o mecanismo de atualização automática do Chrome, fazendo com que os usuários afetados atualizassem automaticamente para a versão maliciosa sem saber.
O plugin malicioso contém dois arquivos-chave, sendo que o arquivo worker.js se conecta ao servidor de comando e controle, baixa a configuração e a armazena no armazenamento local do Chrome, registrando posteriormente um listener para escutar eventos do content.js. Esta versão maliciosa da extensão (, versão 24.10.4), foi lançada à 1:32 UTC em 25 de dezembro e retirada à 2:50 UTC em 26 de dezembro, com um tempo total de existência de 31 horas. Durante esse período, o navegador Chrome que executava a extensão baixaria e instalaria automaticamente o código malicioso.
O relatório de investigação da empresa de segurança indica que os plugins afetados pelos ataques tiveram um total de mais de 500 mil downloads na loja do Google, e mais de 2,6 milhões de dispositivos de usuários tiveram dados sensíveis roubados, representando um grande risco de segurança para os usuários. Estes extensões adulteradas estiveram disponíveis na loja de aplicações do Google Chrome por um período máximo de 18 meses, enquanto os usuários vítimas quase não perceberam que seus dados haviam sido divulgados.
Devido à estratégia de atualização da loja Chrome que gradualmente deixa de suportar plugins da versão V2, o plugin oficial original SwitchyOmega também está nessa faixa de não suporte, uma vez que é da versão V2. A versão maliciosa contaminada é da versão V3, cujo conta do desenvolvedor é diferente da conta da versão original V2. Portanto, não é possível confirmar se essa versão foi lançada oficialmente, nem avaliar se a conta oficial foi atacada por hackers e a versão maliciosa foi carregada, ou se o autor da versão V3 já tinha comportamentos maliciosos.
Os especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente, a fim de reduzir os riscos de segurança.
Como prevenir a alteração de plugins?
As extensões de navegador sempre foram um ponto fraco na segurança da web. Para evitar que os plugins sejam alterados ou baixados de plugins maliciosos, os usuários precisam garantir a proteção de segurança em três aspectos: instalação, uso e gestão.
Baixe apenas plugins de canais oficiais
Esteja atento às solicitações de permissões dos plugins
Verifique regularmente os plugins instalados
Use ferramentas profissionais para monitorar o fluxo de fundos e evitar a perda de ativos
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-0d985041e03763c9f71cc47441f5bc40.webp)
Como desenvolvedor e mantenedor do plug-in, a equipe do projeto deve tomar medidas de segurança mais rigorosas para evitar riscos como adulteração maliciosa, ataques à cadeia de suprimentos e abuso de OAuth.
Controlo de acesso OAuth
Aumentar a segurança da conta do Chrome Web Store
Auditoria regular
Monitorização de plug-ins
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)
O que fazer com plugins que foram implantados com código malicioso?
Se você achar que um plugin foi infetado com código malicioso, ou se você suspeitar que um plugin pode ser arriscado, recomendamos que você tome as seguintes ações:
Remover o plugin imediatamente
Alterar informações sensíveis que possam ser divulgadas
Escanear o sistema, verificar se há backdoors ou malware
Monitorizar se a conta tem atividades anormais
Feedback para as autoridades, para evitar que mais utilizadores sejam prejudicados.
Embora os complementos do navegador possam melhorar a experiência do usuário, eles também podem ser um avanço para os hackers, arriscando violações de dados e perda de ativos. Portanto, enquanto desfrutam da conveniência, os usuários também precisam estar vigilantes e desenvolver bons hábitos de segurança, como instalar e gerenciar plugins cuidadosamente, verificar as permissões regularmente e atualizar ou remover plugins suspeitos em tempo hábil. Ao mesmo tempo, os desenvolvedores e as plataformas também devem reforçar as medidas de segurança para garantir a segurança e a conformidade dos plug-ins. Somente quando usuários, desenvolvedores e plataformas trabalham juntos para aumentar a conscientização sobre segurança e implementar medidas de proteção eficazes, podemos realmente reduzir os riscos e garantir a segurança dos dados e ativos.
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-79cda6aad1b8373145d89f5169d1faf1.webp)
! [Evento de risco de reemergência do plug-in do Google: o SwitchyOmega foi exposto ao roubo da chave privada, como evitar que o plug-in seja adulterado?] ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)