私钥被盗并非首次曝光

早在2024年12月, 安全公司Cyberhaven有一名员工, 因点击钓鱼邮件, 致使整个公司发布的插件被注入恶意代码, 攻击者假冒谷歌官方, 宣称该扩展程序违反了条款，提出若不处理便将被下架, 该员工在紧急状况下未核实邮件真假, 就授权了一个名为“Privacy Policy Extension”的OAuth应用, 最终直接造成公司账号失控。

此事件不是孤立存在的那种情况, 而是大规模供应链攻击像冰山一角那样的状况。独立安全机构Booz Allen Hamilton在开展调查期间发现, 谷歌插件商店之内已经有超过30款插件碰到了同样的攻击情形。其累计下载量超过50万次, 影响的用户设备数量超过260万台。攻击者运用自动更新机制, 致使用户在没有知晓相关情况的状态下安装恶意版本, 私钥、Cookie、密码等属于敏感数据的这些内容被定期窃取后上传。

恶意插件如何绕过用户感知

获有Chrome商店账号权限的攻击者, 上传了新版本扩展, 其中包含恶意代码, 版本号是24.10.4, 哈希值为DDF8C9C72B1B1061221A597168F9BB2C2BA09D38D7B3405E1DACE37AF1587944。这个恶意版本是于12月25日凌晨1点32分上线的, 一直到12月26日凌晨2点50分才被撤下, 存在的时间总共是31小时。

恶意插件里含有两个关键文件, 分别是worker.js和content.js, worker.js会连接到攻击者的命令与控制服务器, 下载配置并存进Chrome本地存储, 接着注册监听器等待来自content.js的事件, 当用户在网站输入密码或者私钥时, content.js会捕获这些数据并发送给worker.js, 最终上传到攻击者服务器, 用户在这期间几乎察觉不到, 因为插件依旧能正常切换代理。

官方与恶意版本难以区分

目前, 谷歌Chrome商店正逐渐淘汰V2版本插件, SwitchyOmega的官方原版却仍是V2版本, 所以不在支持范畴内。受污染的恶意版本是V3版本, 它的开发者账号和原版V2版本的账号不一样。这引出了两个关键问题: 其一, 官方账号是不是遭遇黑客攻击后上传了恶意版本, 其二, V3版本的作者本身是不是就有恶意举动。

慢雾安全团队向用户提议, 要马上核查已安装插件的ID, 以此来确定能不能是官方版本。要是察觉到安装了受影响的插件, 那就得立刻更新成最新的安全版本, 或者直接给移除掉。另外, 原版开发者直至现在都还未对V3版本开展官方确认, 这表明用户没办法经由常规渠道判别版本真假, 能依靠的唯有插件ID以及发布者信息来实施排查。

(受影响的 Chrome 插件列表和用户统计[3])

用户如何预防插件被篡改

网络安全薄弱环节之中, 一直存在浏览器扩展程序, 对此用户得从安装、使用以及管理这三方面着手做好防护。防护的第一步是, 仅从官方渠道去下载插件, 切不可使用第三方站点或者论坛所提供的安装包。防护的第二步是, 要对插件的权限请求保持警惕, 尤其是那些申请读取所有网站数据、访问剪贴板或者修改网页内容的插件。

第三步, 是要定期去检查那些已经安装好的插件, 然后把不再使用的或者来源不清楚的扩展给删除掉。对于那些涉及加密货币、私钥管理的用户而言, 提议使用像MistTrack这样的工具去监控资金的流向, 以此来防止资产出现损失。另外, 开启两步验证以及定期更换密码, 同样能够有效地将账号被盗之后插件被篡改的风险给降低。

项目方如何加强插件安全

置身于插件开发者以及维护者的角色之中, 项目方亟待采取更为严苛的安全举措, 用以防范恶意篡改以及供应链攻击行为。首先, 务必严谨地施行OAuth访问控制, 以便保证仅仅是经过授权的那些人员才能够发布或者更新插件, 防止因单个员工误点钓鱼链接, 进而致使全线陷入崩溃局面。

进行两步验证时, Chrome Web Store账户得启用硬件安全密钥, 并且要定期去审计账户登录记录以及授权的应用。与此同时, 项目方也需要对代码仓库不停地进行监控, 检测看有没有未授权的提交或者分支。最终, 要建立应急响应机制, 一旦察觉到恶意版本上线了之时, 能够在几小时以内完成下线以及对用户的通知。

发现恶意插件后的处理步骤

要是用户发觉自身已然安装了被篡改的插件, 第一步便是即刻从Chrome扩展管理页面将该插件移除, 并且清除浏览器缓存以及Cookie。第二步是去更改所有有可能泄露的敏感信息, 包含邮箱密码、社交媒体账号密码以及加密货币私钥, 特别是与插件相关的账户。

第三步举措为运用安全软件针对系统展开全面扫描, 以此来查验是否存在后门状况以及恶意软件有所残留的情况。第四步做法是对银行账户、交易所账户以及钱包地址持续予以监测, 查看有没有异常活动发生, 在必要之时冻结相关账户。加密货币用户方面, 建议即刻把资产转移至新的未被污染的地址, 并且更换所有已授权该插件的应用。

你有没有对Chrome浏览器里的插件列表进行过检查, 赶快去核查一下你的SwitchyOmega版本以及开发者的账号, 防止因为私钥泄露而导致出现没法弥补的损失。感觉有作用的话就点个赞, 转发给身旁儿的朋友一块儿自行检查一下。