SwitchyOmega 插件安全事件深度剖析：从供应链攻击到私钥泄露的完整技术链

查找币:余老师 | 学术研究 | 2026-05-10 04:05 | 3 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 事件背景与攻击溯源 2024年12月，Chrome生态中一款广泛使用的代理切换插件 **SwitchyOmega** 被曝出存在严重安全风险，涉及用户私钥盗取、账户劫持等核心安全威胁。查找币安全团队在追踪该事件时发现，这并非孤立个案，而是针对浏览器扩展供应链的定向攻击。攻击最初于2024年12月24日被发现，源自 **Cyberhaven** 公司一名员工遭遇的钓鱼邮件攻击。攻击者伪装成Google官方，声称该公司的浏览器扩展违反Google条款，若不立即处理将被下架。受害者因紧迫感点击了钓鱼链接，并授权了一个名为 "Privacy Policy Extension" 的OAuth应用。这一授权操作成为整个攻击链的突破口——攻击者获取了OAuth令牌后，即可远程控制Chrome应用商店账户，在无需密码的情况下上传恶意代码。 ## 技术细节与攻击链分析 ### 1. 恶意版本发布与传播机制攻击者在控制Cyberhaven账户后，上传了包含恶意代码的新版本扩展（版本号：**24.10.4**，哈希值：`DDF8C9C72B1B1061221A597168F9BB2C2BA09D38D7B3405E1DACE37AF1587944`）。Chrome的自动更新机制使得所有已安装该扩展的用户在无感知情况下自动更新至恶意版本。 - **上线时间**：2024年12月25日 01:32 UTC - **下架时间**：2024年12月26日 02:50 UTC - **暴露时长**：31小时 ### 2. 恶意载荷技术分析恶意插件包含两个核心文件： - **worker.js**：负责连接至攻击者的C&C（命令与控制）服务器，下载配置并存储于Chrome本地存储，同时注册事件监听器，监听来自content.js的消息 - **content.js**：执行具体的敏感数据窃取逻辑，包括： - 拦截浏览器Cookie - 窃取本地存储的密码凭据 - 扫描并提取加密货币钱包扩展的私钥数据 - 将窃取数据加密后上传至攻击者服务器 ### 3. 攻击影响范围根据 **Booz Allen Hamilton** 的独立调查报告，此次攻击波及范围惊人： | 指标 | 数据 | |------|------| | 受影响插件数量 | 30+ 款Chrome扩展 | | 累计下载量 | 500,000+ 次 | | 受影响用户设备 | 2,600,000+ 台 | | 恶意版本存活最长时间 | 18个月 | ### 4. SwitchyOmega的特殊性值得注意的是，SwitchyOmega官方原版为 **V2版本**，由于Chrome商城逐渐停止对V2的支持，用户被迫转向V3版本。而受污染的 **Proxy SwitchOmega (V3)** 版本的开发者账号与原版V2账号不同，存在两种可能性： - 原版开发者账户被攻击后上传恶意V3版本 - V3版本开发者本身即存在恶意行为 ## 安全防御与检测方案 ### 1. 插件完整性验证查找币安全团队建议用户立即执行以下操作： ```bash # 检查已安装插件的ID Chrome地址栏输入：chrome://extensions/ # SwitchyOmega官方版本ID padekgcemlokbadohgkifijomclgjgif # 受污染V3版本ID（需警惕） hihblcmlaaademjlakdpicchbjnnnkbo ``` ### 2. 预防措施清单 #### 安装阶段 - **仅从官方商店下载**：严禁使用第三方下载链接或“破解版”插件 - **验证开发者信息**：确认插件开发者与官方一致，警惕新注册账号发布的“替代版本” #### 使用阶段 - **权限最小化原则**：拒绝任何与功能无关的权限请求，特别是： - 访问浏览记录 - 读取剪贴板 - 访问本地文件系统 - **监控异常行为**：如插件突然请求网络连接、频繁更新配置文件等 #### 管理阶段 - **定期审计插件列表**：每周检查 `chrome://extensions/`，关注： - 最近更新时间（长期未更新后突然发布新版本需警惕） - 开发者信息变更 - 权限变动通知 - **启用双重验证**：为Chrome开发者账户启用2FA，防止OAuth攻击 ### 3. 应急响应流程若怀疑插件已被篡改或私钥泄露： 1. **立即断开网络连接**：防止数据进一步外泄 2. **移除可疑插件**：在扩展管理页面点击“移除” 3. **更换所有密码**：特别是与加密货币相关的账户 4. **转移数字资产**：创建新钱包，将资产转移至安全地址 5. **使用查找币追踪系统**：监控资金流向，防止资产损失 ## 深层技术反思此次事件揭示了浏览器扩展生态的三大安全脆弱点： ### 1. OAuth权限滥用攻击者通过钓鱼获取OAuth令牌后，即可在无需密码的情况下完全控制开发者账户。这暴露了OAuth授权机制在安全审计方面的不足——缺乏对第三方应用权限的实时监控和撤销机制。 ### 2. 自动更新机制的双刃剑 Chrome的自动更新功能虽然保证了用户始终使用最新版本，但也为恶意代码的快速传播提供了通道。31小时的暴露时间内，数百万用户设备被感染，凸显了供应链安全审查的滞后性。 ### 3. 版本迁移的安全漏洞 Chrome强制淘汰V2扩展的政策，迫使开发者仓促升级至V3，这一过程中产生了大量安全盲区。攻击者利用用户对“官方版本”的信任，通过仿冒账号发布恶意V3版本，实现了精准的供应链投毒。 ## 总结与建议 SwitchyOmega事件是2024年最严重的浏览器扩展安全事件之一，其影响范围之广、攻击链之复杂、隐蔽性之强，均创下近年记录。查找币安全团队建议所有用户： 1. **立即检查并清理**：确认未安装受污染的SwitchyOmega V3版本 2. **建立安全习惯**：将插件管理纳入日常安全检查流程 3. **关注官方渠道**：仅通过官方GitHub、Chrome商店获取更新 4. **使用硬件钱包**：对于大额数字资产，优先使用硬件钱包而非浏览器扩展区块链安全是一场持续的攻防战，供应链攻击只是攻击者众多手段之一。保持警惕、定期审计、最小化权限，是保护数字资产安全的核心原则。 --- 本文由查找币安全团队整理发布

SwitchyOmega 插件安全事件深度剖析：从供应链攻击到私钥泄露的完整技术链

查找币安全研究院

主题延伸阅读