Slow Mist: 수백만 달러를 훔친 악성 Chrome 확장 프로그램이 해결되었습니다.

avatar
慢雾科技
5개월 전
이 글은 약 5683자,전문을 읽는 데 약 8분이 걸린다
이 글은 6가지 질문과 답변, 보안 제안을 통해 사용자와 플랫폼이 계정과 자산의 보안을 보호하는 능력을 향상시키는 데 도움이 되기를 바랍니다.

원저자: 23pds @slowmist 보안 팀

배경

2024년 6월 3일, 트위터 사용자 @CryptoNakamao는 악성 Chrome 확장 프로그램 Aggr을 다운로드하여 미화 100만 달러를 도난당한 방법에 대해 게시했습니다. 이로 인해 대다수의 암호화폐 커뮤니티 사용자는 확장 프로그램의 위험에 주의를 기울이고 우려하게 되었습니다. 자신의 암호화폐 자산에 대한 보안. 5월 31일, SlowMist 보안 팀은 악성 Aggr 확장 프로그램의 사악한 방법에 대한 자세한 분석을 제공하는 Wolf in Sheeps Clothing | 가짜 Chrome 확장 프로그램 도난 분석 기사를 게시했습니다. 사용자들 사이에서 브라우저 확장에 대한 배경 지식이 부족한 점을 고려하여 SlowMist 최고 정보 보안 책임자(CIO) 23 pds는 이 기사의 6가지 질문과 답변을 통해 확장의 기본 지식과 잠재적인 위험에 대해 설명하고 확장 위험에 대처하기 위한 제안을 제공합니다. 개인 사용자와 거래를 돕기 위해 플랫폼은 계정과 자산의 보안을 보호하는 능력을 향상시킵니다.

Slow Mist: 수백만 달러를 훔친 악성 Chrome 확장 프로그램이 해결되었습니다.

(https://x.com/im 23 pds/status/1797528115897626708)

QA

1. Chrome 확장 프로그램이란 무엇입니까?

Chrome 확장 프로그램은 브라우저의 기능과 동작을 확장할 수 있는 Google Chrome용 플러그인입니다. 사용자의 탐색 환경을 맞춤설정하고, 새로운 기능이나 콘텐츠를 추가하거나, 웹사이트와 상호작용할 수 있습니다. Chrome 확장 프로그램은 일반적으로 HTML, CSS, JavaScript 및 기타 웹 기술로 구축됩니다.

Chrome 확장 프로그램의 구조는 일반적으로 다음 부분으로 구성됩니다.

  • Manifest.json: 확장의 기본 정보(예: 이름, 버전, 권한 등)를 정의하는 확장 구성 파일입니다.

  • 백그라운드 스크립트: 이벤트 및 장기 작업을 처리하기 위해 브라우저 백그라운드에서 실행됩니다.

  • 콘텐츠 스크립트: 웹 페이지의 컨텍스트에서 실행되며 웹 페이지와 직접 상호 작용할 수 있습니다.

  • 사용자 인터페이스(UI): 브라우저 도구 모음 버튼, 팝업 창, 옵션 페이지 등

2. Chrome 확장 프로그램의 기능은 무엇인가요?

  • 광고 차단: 확장 프로그램은 웹 페이지의 광고를 차단하고 차단하여 웹 페이지 로딩 속도와 사용자 경험을 향상시킵니다. 예를 들어 AdBlock 및 uBlock Origin이 있습니다.

  • 개인 정보 보호 및 보안: 일부 확장 프로그램은 추적 방지, 통신 암호화, 비밀번호 관리 등 사용자 개인 정보 보호 및 보안을 강화할 수 있습니다. 예를 들어 Privacy Badger 및 LastPass가 있습니다.

  • 생산성 도구: 확장 기능은 사용자가 작업 관리, 메모 작성, 시간 추적 등 생산성을 향상시키는 데 도움이 될 수 있습니다. 예를 들어 Todoist와 Evernote Web Clipper가 있습니다.

  • 개발자 도구: 웹 페이지 구조 보기, 코드 디버깅, 네트워크 요청 분석 등 웹 개발자를 위한 디버깅 및 개발 도구를 제공합니다. 예를 들어 React 개발자 도구 및 Postman이 있습니다.

  • 소셜 미디어 및 커뮤니케이션: 확장 프로그램은 소셜 미디어와 커뮤니케이션 도구를 통합하여 사용자가 웹을 탐색하는 동안 소셜 미디어 알림, 메시지 등을 쉽게 처리할 수 있습니다. 예를 들어 Grammarly와 Facebook Messenger가 있습니다.

  • 웹 페이지 사용자 정의: 사용자는 테마 변경, 페이지 요소 재정렬, 추가 기능 추가 등과 같은 확장 기능을 통해 웹 페이지의 모양과 동작을 사용자 정의할 수 있습니다. 예를 들어 Stylish 및 Tampermonkey가 있습니다.

  • 작업 자동화: 확장 프로그램은 사용자가 양식 자동 작성, 파일 일괄 다운로드 등과 같은 반복적인 작업을 자동화하는 데 도움이 될 수 있습니다. 예를 들어 iMacros 및 DownThemAll이 있습니다.

  • 언어 번역: 일부 확장 프로그램은 Google 번역과 같이 사용자가 다양한 언어로 웹페이지를 이해할 수 있도록 웹 콘텐츠를 실시간으로 번역할 수 있습니다.

  • 암호화폐 지원: 확장 기능은 MetaMask 등과 같이 사용자가 암호화폐 거래를 더욱 편리하게 할 수 있도록 도와줍니다.

Chrome 확장 프로그램의 유연성과 다양성을 통해 거의 모든 탐색 시나리오에 적용할 수 있어 사용자가 다양한 작업을 보다 효율적으로 완료할 수 있습니다.

3. Chrome 확장 프로그램을 설치한 후 어떤 권한을 갖게 됩니까?

Chrome 확장 프로그램이 설치되면 특정 기능을 수행하기 위해 일련의 권한을 요청할 수 있습니다. 이러한 권한은 확장 프로그램의 매니페스트.json 파일에 선언되어 있으며 설치 중에 사용자에게 확인 메시지가 표시됩니다. 일반적인 권한은 다음과 같습니다.

  • <all_urls>: 확장 프로그램이 모든 웹사이트의 콘텐츠에 액세스할 수 있도록 허용합니다. 이는 확장 프로그램이 웹사이트의 모든 데이터를 읽고 수정할 수 있도록 허용하는 광범위한 권한입니다.

  • 탭: 확장 프로그램이 현재 열린 탭 가져오기, 탭 생성 및 닫기 등을 포함하여 브라우저의 탭 정보에 액세스할 수 있도록 허용합니다.

  • activeTab: 확장 프로그램이 현재 활성 탭에 일시적으로 액세스할 수 있도록 허용합니다. 일반적으로 사용자가 확장 프로그램 버튼을 클릭할 때 특정 작업을 수행하는 데 사용됩니다.

  • 저장소: 확장 프로그램이 Chrome의 저장소 API를 사용하여 데이터를 저장하고 검색할 수 있도록 허용합니다. 이는 확장 프로그램의 설정, 사용자 데이터 등을 저장하는 데 사용될 수 있습니다.

  • 쿠키: 확장 프로그램이 브라우저에서 쿠키에 액세스하고 수정할 수 있도록 허용합니다.

  • webRequest 및 webRequestBlocking: 확장 프로그램이 네트워크 요청을 가로채고 수정할 수 있도록 허용합니다. 이러한 권한은 일반적으로 광고 차단 및 개인 정보 보호 확장에 사용됩니다.

  • 북마크: 확장 프로그램이 브라우저의 북마크에 액세스하고 수정할 수 있도록 허용합니다.

  • 기록: 확장 프로그램이 브라우저 기록에 액세스하고 수정할 수 있도록 허용합니다.

  • 알림: 확장 프로그램이 데스크톱 알림을 표시하도록 허용합니다.

  • contextMenus: 확장 프로그램이 브라우저의 상황에 맞는 메뉴(오른쪽 클릭 메뉴)에 사용자 정의 메뉴 항목을 추가할 수 있도록 허용합니다.

  • 위치정보: 확장 프로그램이 사용자의 위치정보에 액세스할 수 있도록 허용합니다.

  • ClipboardRead 및 ClipboardWrite: 확장 프로그램이 클립보드 내용을 읽고 쓸 수 있도록 허용합니다.

  • 다운로드: 확장 프로그램이 다운로드 시작, 일시 중지, 취소를 포함하여 다운로드를 관리할 수 있도록 허용합니다.

  • 관리: 확장 프로그램이 브라우저의 다른 확장 프로그램과 애플리케이션을 관리할 수 있도록 허용합니다.

  • background: 확장 프로그램이 백그라운드에서 장기 실행 작업을 실행할 수 있도록 허용합니다.

  • 알림: 확장 프로그램이 시스템 알림을 표시하도록 허용합니다.

  • webNavigation: 확장 프로그램이 브라우저의 탐색 동작을 모니터링하고 수정할 수 있도록 허용합니다.

이러한 권한을 통해 Chrome 확장 프로그램은 강력하고 다양한 기능을 수행할 수 있을 뿐만 아니라 쿠키, 인증 정보 등과 같은 사용자의 민감한 데이터에 액세스할 가능성이 있음을 의미합니다.

4. 악성 Chrome 확장 프로그램이 사용자 권한을 도용할 수 있는 이유는 무엇입니까?

악성 Chrome 확장 프로그램은 사용자의 브라우저 환경 및 데이터에 직접 접근하고 조작할 수 있기 때문에 요청된 권한을 악용하여 사용자의 권한 및 인증 정보를 훔칠 수 있습니다. 구체적인 이유와 방법은 다음과 같다.

  • 광범위한 권한 접근: 악성 확장 프로그램은 일반적으로 모든 웹사이트(<all_urls>) 접근, 브라우저 탭(tab) 읽기 및 수정, 브라우저의 저장소(storage) 접근 등 많은 권한을 요청합니다. 이러한 권한은 악성 확장 프로그램이 사용자의 탐색 활동 및 데이터에 대한 광범위한 액세스를 제공합니다.

  • 네트워크 요청 조작: 악성 확장 프로그램은 webRequest 및 webRequestBlocking 권한을 사용하여 네트워크 요청을 가로채고 수정하여 사용자 인증 정보와 중요한 데이터를 훔칠 수 있습니다. 예를 들어, 사용자가 웹사이트에 로그인할 때 양식 데이터를 가로채서 사용자 이름과 비밀번호를 얻을 수 있습니다.

  • 페이지 콘텐츠 읽기 및 쓰기: 악성 확장 프로그램은 콘텐츠 스크립트를 통해 웹 페이지에 코드를 삽입하여 페이지 콘텐츠를 읽고 수정할 수 있습니다. 이는 양식 정보, 검색어 등과 같이 사용자가 웹 페이지에 입력하는 모든 데이터를 훔칠 수 있음을 의미합니다.

  • 브라우저 저장소 액세스: 악성 확장 프로그램은 저장소 권한을 사용하여 민감한 정보가 포함될 수 있는 브라우저 저장소(예: LocalStorage 및 IndexedDB)를 포함하여 사용자의 로컬 데이터에 액세스하고 저장할 수 있습니다.

  • 클립보드 조작: 클립보드읽기 및 클립보드쓰기 권한을 사용하면 악성 확장 프로그램이 사용자 클립보드의 내용을 읽고 쓸 수 있으므로 사용자가 복사하고 붙여넣은 정보를 훔치거나 변조할 수 있습니다.

  • 합법적인 웹사이트로 위장: 악성 확장 프로그램은 브라우저의 콘텐츠를 수정하거나 사용자가 방문한 웹페이지를 리디렉션하는 등 합법적인 웹사이트로 위장하고 사용자가 민감한 정보를 입력하도록 유도할 수 있습니다.

  • 장기간 백그라운드 실행: 백그라운드 권한이 있는 악성 확장 프로그램은 사용자가 적극적으로 사용하지 않는 경우에도 백그라운드에서 계속 실행될 수 있습니다. 이를 통해 장기간에 걸쳐 사용자의 활동을 모니터링하고 많은 양의 데이터를 수집할 수 있습니다.

  • 운영 다운로드: 악성 확장 프로그램은 다운로드 권한을 사용하여 악성 파일을 다운로드하고 실행하여 사용자의 시스템 보안을 더욱 위험에 빠뜨릴 수 있습니다.

5. 이 악성 확장 프로그램의 피해자가 권한을 도난당하고 자금이 훼손된 이유는 무엇입니까?

이번에는 악성 Aggr 확장이 위에서 설명한 배경 정보를 가져왔기 때문에 다음은 악성 플러그인 매니페스트.json 파일의 권한 콘텐츠 일부입니다.

  • 쿠키

  • <모든_URL>

  • 저장

6. 악성 Chrome 확장 프로그램은 사용자의 쿠키를 훔친 후 무엇을 할 수 있나요?

  • 계정 액세스: 악성 확장 프로그램은 훔친 쿠키를 사용하여 사용자가 거래 플랫폼 계정에 로그인하는 것을 시뮬레이션하여 잔액, 거래 내역 등을 포함한 사용자 계정 정보에 액세스할 수 있습니다.

  • 거래 수행: 도난당한 쿠키를 통해 악의적인 확장 프로그램이 거래를 수행하고, 암호화폐를 구매 또는 판매할 수 있으며, 사용자의 동의 없이 자산을 다른 계정으로 이전할 수도 있습니다.

  • 자금 인출: 쿠키에 세션 정보와 인증 토큰이 포함되어 있는 경우 악의적인 확장 프로그램은 2단계 인증(2FA)을 우회하고 직접 자금 인출을 시작하여 사용자의 암호화폐를 공격자가 제어하는 지갑으로 전송할 수 있습니다.

  • 민감한 정보에 접근: 악성 확장 프로그램은 사용자의 거래 플랫폼 계정에 있는 인증 문서, 주소 등과 같은 민감한 정보에 접근하고 수집할 수 있으며, 이는 추가 신원 도용이나 사기에 사용될 수 있습니다.

  • 계정 설정 수정: 악성 확장 프로그램은 바인딩된 이메일 주소, 휴대폰 번호 등과 같은 사용자의 계정 설정을 변경하여 계정을 추가로 제어하고 더 많은 정보를 훔칠 수 있습니다.

  • 사용자를 사칭하여 사회 공학적 공격 수행: 사용자 계정을 사용하여 사회 공학적 공격을 수행합니다. 예를 들어 사용자의 연락처에 사기성 정보를 보내 사용자가 안전하지 않은 작업을 수행하도록 유도하거나 보다 민감한 정보를 제공하는 등입니다.

응답

이를 보고 대부분의 사용자는 인터넷 연결을 끊고 게임을 중단하면 어떻게 해야 합니까?라고 생각할 수 있습니다. 별도의 컴퓨터를 사용하시나요? 웹 로그인 플랫폼이 필요하지 않으신가요? 인터넷에는 막대기로 사람을 죽이는 것에 대한 말이 많이 있지만 실제로 우리는 그러한 위험을 합리적으로 예방하는 방법을 배울 수 있습니다.

개별 사용자에 대한 대책:

  • 개인 보안 인식 제고: 첫 번째 예방 제안은 개인 보안 인식을 제고하고 항상 회의적인 태도를 유지하는 것입니다.

  • 신뢰할 수 있는 소스의 확장 프로그램만 설치: Chrome 웹 스토어 또는 기타 신뢰할 수 있는 소스의 확장 프로그램을 설치하고 사용자 리뷰 및 권한 요청을 읽어 확장 프로그램에 불필요한 액세스 권한을 부여하지 않도록 노력하세요.

  • 안전한 브라우저 환경을 사용하세요. 출처를 알 수 없는 확장 프로그램 설치를 피하고, 불필요한 확장 프로그램을 정기적으로 검토 및 삭제하고, 다른 브라우저를 설치하고, 플러그인 브라우저와 거래 자금 브라우저를 격리하세요.

  • 계정 활동 정기적 확인: 계정 로그인 활동 및 거래 기록을 정기적으로 확인하고 의심스러운 행위가 발견되면 즉시 조치를 취합니다.

  • 로그아웃을 기억하세요: 웹 운영 플랫폼을 사용한 후에는 반드시 로그아웃하십시오. 편의를 위해 많은 사람들은 작업을 완료하기 위해 플랫폼에 로그인한 후 클릭하여 로그아웃하지 않습니다.

  • 하드웨어 지갑 사용: 자산의 양이 많은 경우 보안을 강화하기 위해 하드웨어 지갑을 사용하여 보관하세요.

  • 브라우저 설정 및 보안 도구: 안전한 브라우저 설정 및 확장 프로그램(예: 광고 차단기, 개인 정보 보호 도구)을 사용하여 악성 확장 프로그램의 위험을 줄입니다.

  • 보안 소프트웨어 사용: 보안 소프트웨어를 설치하고 사용하여 악의적인 확장 프로그램 및 기타 악성 코드가 해를 끼치는 것을 감지하고 방지합니다.

마지막으로, 플랫폼에 대한 위험 제어 제안이 있습니다. 이러한 조치를 통해 거래 플랫폼은 악성 Chrome 확장 프로그램으로 인해 사용자에게 발생하는 보안 위험을 줄일 수 있습니다.

  • 2단계 인증(2FA)을 강제로 사용합니다.

- 전역적으로 2FA 활성화: 모든 사용자는 로그인하고 중요한 작업(예: 거래, 주문, 자금 인출)을 수행할 때 2단계 인증(2FA)을 활성화해야 사용자의 쿠키가 도난당하더라도 공격자가 쉽게 접근할 수 없습니다. 계정에 액세스하세요.

- 다중 인증 방법: SMS, 이메일, Google Authenticator, 하드웨어 토큰 등 다중 2차 인증 방법을 지원합니다.

  • 세션 관리 및 보안:

- 기기 관리: 사용자에게 로그인된 기기를 확인하고 관리할 수 있는 기능을 제공하여, 사용자는 언제든지 알 수 없는 기기가 있는 세션에서 로그아웃할 수 있습니다.

- 세션 타임아웃: 세션 도용 위험을 줄이기 위해 오랫동안 활동하지 않은 세션을 자동으로 로그아웃시키는 세션 타임아웃 정책을 구현합니다.

- IP 주소 및 지리적 위치 모니터링: 비정상적인 IP 주소 또는 지리적 위치로부터의 로그인 시도를 감지하여 사용자에게 경고하고 필요한 경우 이러한 로그인을 차단합니다.

  • 계정 보안 설정 강화:

- 보안 알림: 계정 로그인, 비밀번호 변경, 자금 인출 등 중요한 작업에 대해 사용자에게 즉시 알림을 보냅니다. 사용자는 이메일이나 SMS를 통해 비정상적인 활동을 알릴 수 있습니다.

- 계정 동결 기능: 긴급 상황 발생 시 신속하게 계정을 동결할 수 있는 옵션을 제공하여 피해 규모를 통제할 수 있습니다.

  • 모니터링 및 위험 통제 시스템 강화:

- 이상 행위 탐지: 머신러닝과 빅데이터 분석을 활용해 사용자 행위를 모니터링하고, 비정상적인 거래 패턴과 계정 활동을 식별하며 적시에 위험 통제 개입을 실시합니다.

- 위험 통제 경고: 잦은 계정 정보 변경, 잦은 로그인 시도 실패 등 의심스러운 행위에 대해 조기 경고 및 제한을 제공합니다.

  • 사용자에게 보안 교육 및 도구를 제공합니다.

- 보안 교육: 공식 소셜 계정, 이메일, 플랫폼 내 알림 및 기타 채널을 통해 사용자에게 보안 지식을 대중화하고 사용자에게 브라우저 확장 프로그램의 위험과 계정 보호 방법에 주의를 기울일 것을 상기시킵니다.

- 보안 도구: 사용자가 계정 보안을 강화하고 가능한 보안 위협을 감지하고 사용자에게 경고할 수 있도록 공식 브라우저 플러그인 또는 확장 기능을 제공합니다.

결론

솔직히 말하면 기술적인 관점에서 위에서 언급한 모든 위험 통제 조치를 취하는 것이 최선의 방법이 아닐 수도 있습니다. 보안과 비즈니스의 균형이 필요합니다. 보안이 너무 중요하면 사용자 경험이 나빠질 수 있습니다. 예를 들어 주문 시 2차 인증이 필요합니다. 결과적으로 쿠키가 도난당하고 코인을 출금할 수 없게 되면 해커가 서로 대결하여 사용자 자산에 피해를 줄 수 있으므로 귀하와 해커에게 편리합니다. 따라서 위험 관리 방법은 플랫폼과 사용자마다 다릅니다. 보안과 비즈니스의 균형에 관해서는 플랫폼마다 고려 사항이 다릅니다. 플랫폼이 사용자 경험을 고려하면서 사용자 계정과 자산의 보안을 보호할 수 있기를 바랍니다.

창작 글, 작자:慢雾科技。전재 / 콘텐츠 제휴 / 기사 요청 연락처 report@odaily.email;违규정 전재 법률은 반드시 추궁해야 한다.

ODAILY는 많은 독자들이 정확한 화폐 관념과 투자 이념을 수립하고 블록체인을 이성적으로 바라보며 위험 의식을 확실하게 제고해 달라고 당부했다.발견된 위법 범죄 단서에 대해서는 관련 부서에 적극적으로 고발하여 반영할 수 있다.

추천 독서
편집자의 선택