Chrome 插件 SwitchyOmega 安全風險事件分析及防範建議

近期，多名用戶反饋知名代理切換插件 SwitchyOmega 可能存在竊取私鑰的安全隱患。經調查發現，這一問題早在去年就已出現，但部分用戶可能未注意到警告信息，仍在使用被污染的插件版本，面臨帳戶被劫持等嚴重風險。

事件回顧

此次事件最初源於一起網路攻擊調查。2024年12月24日，某公司員工遭遇釣魚郵件攻擊，導致其發布的瀏覽器插件被植入惡意代碼，試圖竊取用戶瀏覽器的Cookie和密碼。獨立調查顯示，超過30款谷歌商店插件遭受類似攻擊，包括Proxy SwitchOmega (V3)在內。

攻擊者通過僞造的OAuth授權界面獲取了開發者帳號控制權，隨後上傳了包含惡意代碼的新版本插件。利用Chrome的自動更新機制，受影響用戶在不知情的情況下更新到了惡意版本。

惡意插件版本於12月25日凌晨上線，26日凌晨被下架，存在時間約31小時。期間，使用該插件的Chrome瀏覽器會自動下載並安裝惡意代碼。

調查報告指出，受影響插件在谷歌商店的累計下載量超過50萬次，超過260萬用戶設備中的敏感數據可能已被竊取。這些被篡改的插件在應用商店中最長存在時間達18個月，用戶幾乎無法察覺數據泄露。

由於Chrome商店逐步停止支持V2版本插件，而SwitchyOmega官方原版爲V2版本，因此也在不支持範圍內。受污染的V3版本開發者帳號與原版不同，無法確認是否爲官方發布或是帳戶遭到黑客攻擊。

安全團隊建議用戶檢查已安裝插件的ID，確認是否爲官方版本。如發現受影響插件，應立即更新至最新安全版本或直接移除，降低安全風險。

預防插件被篡改的方法

爲避免插件被篡改或下載到惡意插件，用戶需從安裝、使用、管理三方面做好安全防護：

1. 僅從官方渠道下載插件
2. 警惕插件的權限請求
3. 定期檢查已安裝的插件
4. 使用專業工具監控資金流向，防止資產損失

對於插件開發者，應採取更嚴格的安全措施：

1. 加強OAuth訪問控制
2. 提升Chrome Web Store帳戶安全性
3. 定期進行安全審計
4. 實時監測插件是否被劫持

處理已被植入惡意代碼插件的建議

如發現插件已被惡意代碼感染或存在風險，建議採取以下措施：

1. 立即移除插件
2. 更改可能泄露的敏感信息
3. 掃描系統，檢查是否有後門或惡意軟件
4. 監測帳戶是否有異常活動
5. 向官方反饋，防止更多用戶受害

瀏覽器插件雖能提升用戶體驗，但也可能成爲黑客攻擊的突破口。用戶需保持警惕，養成良好的安全習慣。同時，開發者和平台方也應強化安全防護措施，確保插件的安全性和合規性。只有各方共同努力，提升安全意識並落實有效防護措施，才能真正降低風險，保障數據和資產安全。