Chrome插件安全问题再现：SwitchyOmega被指存在盗取私钥风险

近期，有用户反映Chrome浏览器知名代理切换插件SwitchyOmega可能存在盗取私钥的安全隐患。经调查发现，这一安全问题并非首次出现，早在去年就已有相关警示。然而，部分用户可能未留意这些警告，继续使用了存在风险的插件版本，因此面临私钥泄露、账户被劫持等严重威胁。本文将详细分析此次插件被篡改的情况，并探讨如何预防插件篡改及应对恶意插件。

事件回顾

这起事件最早源于2024年12月24日的一次攻击调查。某公司一名员工收到钓鱼邮件后，其发布的浏览器插件被植入恶意代码，试图窃取用户浏览器的Cookie和密码并上传至攻击者服务器。经专业安全公司调查，谷歌插件商城中已有30多款插件遭受类似攻击，包括Proxy SwitchOmega (V3)。

钓鱼邮件声称该公司发布的浏览器扩展程序违反了Google的相关条款，并威胁如不立即采取行动，插件将被下架。出于紧迫感，该员工点击了邮件中的钓鱼链接，并授权了一个名为"Privacy Policy Extension"的OAuth应用。OAuth的主要风险在于，一旦攻击者获取了OAuth应用的访问权限，就能远程控制受害者的账户，在无需密码的情况下修改应用数据。

攻击者获得Chrome应用商店账号控制权后，上传了含恶意代码的新版本扩展，并利用Chrome的自动更新机制，使受影响用户在不知情的情况下自动更新到恶意版本。

恶意插件包含两个关键文件，其中worker.js文件会连接至命令与控制服务器，下载配置并存储在Chrome的本地存储中，随后注册监听器以监听来自content.js的事件。这个恶意版本的扩展程序(版本号24.10.4)于12月25日凌晨1:32(UTC)上线，并于12月26日凌晨2:50(UTC)被撤下，存在时间共31小时。在此期间，运行该扩展的Chrome浏览器会自动下载并安装恶意代码。

安全公司的调查报告指出，这些受攻击影响的插件在谷歌商店的累计下载量超过50万次，超过260万用户设备中的敏感数据被窃取，对用户构成了极大的安全风险。这些被篡改的扩展程序在Google Chrome应用商店中上架时间最长达18个月，而受害用户在此期间几乎无法察觉自己的数据已遭泄露。

由于Chrome商城的更新策略逐渐不支持V2版本的插件，而SwitchyOmega官方原版插件为V2版本，因此也在不支持的范围内。受污染的恶意版本为V3版本，其开发者账号与原版V2版本的账号不同。因此，无法确认该版本是否由官方发布，也无法判断是官方账户遭到黑客攻击后上传了恶意版本，还是V3版本的作者本身就存在恶意行为。

安全专家建议用户检查已安装插件的ID，以确认是否为官方版本。如果发现已安装受影响的插件，应立即更新至最新的安全版本，或直接将其移除，以降低安全风险。

如何预防插件被篡改？

浏览器扩展程序一直是网络安全的薄弱环节。为了避免插件被篡改或下载到恶意插件，用户需要从安装、使用、管理三个方面做好安全防护。

1. 只从官方渠道下载插件

   • 优先使用Chrome官方商店，不要轻信网上的第三方下载链接。
   • 避免使用未经验证的"破解版"插件，许多修改版插件可能已被植入后门。

2. 警惕插件的权限请求

   • 谨慎授予权限，部分插件可能会索取不必要的权限，例如访问浏览记录、剪贴板等。
   • 遇到插件要求读取敏感信息，务必提高警惕。

3. 定期检查已安装的插件

   • 在Chrome地址栏输入chrome://extensions/，查看所有已安装的插件。
   • 关注插件的最近更新时间，如果插件长期未更新，却突然发布新版本，需警惕可能被篡改。
   • 定期检查插件的开发者信息，如果插件更换了开发者或权限发生变化，要提高警惕。

4. 使用专业工具监控资金流向，防止资产损失

   • 若怀疑私钥泄露，可以使用专业工具进行链上交易监控，及时了解资金流向。

对项目方而言，作为插件的开发者和维护者，应该采取更严格的安全措施，防止恶意篡改、供应链攻击、OAuth滥用等风险：

1. OAuth访问控制

   • 限制授权范围，监测OAuth日志，如果插件需要使用OAuth进行身份验证，尽量使用短时令牌(Short-lived Token) + 刷新令牌(Refresh Token)机制，避免长期存储高权限Token。

2. 增强Chrome Web Store账户安全性

   • Chrome Web Store是插件的唯一官方发布渠道，一旦开发者账户被攻破，攻击者就能篡改插件并推送到所有用户设备。因此，必须增强账户安全性，例如开启2FA、使用最小权限管理。

3. 定期审计

   • 插件代码的完整性是项目方防篡改的核心，建议定期进行安全审计。

4. 插件监测

   • 项目方不仅要确保发布的新版本安全，还需要实时监测插件是否被劫持，如发现问题第一时间撤下恶意版本，发布安全公告，通知用户卸载受感染版本。

如何处理已被植入恶意代码的插件？

如果发现插件已被恶意代码感染，或者怀疑插件可能存在风险，建议用户采取以下措施：

1. 立即移除插件

   • 进入Chrome扩展管理页面(chrome://extensions/)，找到受影响的插件进行移除。
   • 彻底清除插件数据，以防止残留的恶意代码继续运行。

2. 更改可能泄露的敏感信息

   • 更换浏览器的所有已保存密码，尤其是涉及加密货币交易所、银行账户的密码。
   • 创建新钱包并安全转移资产（如果插件访问了加密钱包）。
   • 检查API Key是否泄露，并立即撤销旧的API Key，申请新的密钥。

3. 扫描系统，检查是否有后门或恶意软件

   • 运行杀毒软件或反恶意软件工具（如Windows Defender、AVG、Malwarebytes）。
   • 检查Hosts文件(C:\Windows\System32\drivers\etc\hosts)，确保没有被修改为恶意服务器地址。
   • 查看浏览器的默认搜索引擎和首页，有些恶意插件会篡改这些设置。

4. 监测账户是否有异常活动

   • 检查交易所、银行账户的登录历史，如果发现异常IP登录，需立即更换密码并启用2FA。
   • 检查加密钱包的交易记录，确认是否有异常转账。
   • 查看社交媒体账户是否被盗用，如果有异常私信或帖子，需立即更改密码。

5. 反馈给官方，防止更多用户受害

   • 如果发现插件被篡改，可以联系原开发团队或向Chrome官方举报。
   • 可以联系安全团队，发布风险预警，提醒更多用户注意安全。

浏览器插件虽然能提升用户体验，但它们同样可能成为黑客攻击的突破口，带来数据泄露和资产损失的风险。因此，用户在享受便利的同时，也需要保持警惕，养成良好的安全习惯，比如谨慎安装和管理插件、定期检查权限、及时更新或移除可疑插件等。与此同时，开发者和平台方也应强化安全防护措施，确保插件的安全性和合规性。只有用户、开发者和平台共同努力，提升安全意识并落实有效的防护措施，才能真正降低风险，保障数据和资产的安全。