Código malicioso inyectado a través de la extensión de Google Chrome …



Un complemento de código abierto supuestamente introdujo el seguimiento y el código de descarga malicioso para infectar a casi 2 millones de usuarios, según los informes.

Google eliminó un complemento de Chrome utilizado por aproximadamente 2 millones de usuarios después de informar que la extensión del navegador se había visto comprometida e instalado código potencialmente malicioso y software package de seguimiento en los sistemas de los usuarios.

La utilidad Terrific Suspender para Chrome tiene una tarea muy basic: reducir la memoria consumida por el navegador mediante el cierre de los procesos de pestañas que son antiguos y la eliminación de su contenido de la memoria. Sin embargo, el mantenedor authentic del proyecto de código abierto vendió el código a un grupo desconocido, que cambió la funcionalidad del complemento e instaló el código actualizado en los sistemas de los usuarios sin notificación y sin publicar el código en el repositorio del complemento en GitHub. de acuerdo a algunos informes.

Este incidente reciente con el complemento de Chrome, junto con SolarWinds y otro compromiso de software program, resalta cómo los atacantes se están enfocando en ecosistemas de software package fuera de las principales tiendas de aplicaciones, como Apple Shop y Google Enjoy, dice Vinnie Liu, CEO de Bishop Fox.

«El ciclo de vida del desarrollo seguro se ha centrado durante 15 años en prevenir la introducción inadvertida de vulnerabilidades por parte de los desarrolladores, y no en identificar y prevenir la inserción intencionada de código malicioso o comportamiento en una aplicación existente», dice. «Los desarrolladores no están preparados para esto. La mayoría de los programas de seguridad empresarial no están preparados para esto».

Ni Google, que eliminó el software package el 4 de febrero, ni el desarrollador primary del application, Dean Oemcke, había respondido a solicitudes de comentarios a partir de esta publicación.

Las empresas de seguridad de aplicaciones han advertido que los componentes de código abierto y el software package de terceros deben examinarse en busca de vulnerabilidades y, cada vez más, como un problema de la cadena de suministro. El ataque de ciberespionaje que infectó a los clientes de SolarWinds al agregar código al application y la propagación del gusano NotPetya a través del compromiso de una actualización del computer software de contabilidad ucraniano, destacan los peligros de las fallas de seguridad de terceros.

«Debemos utilizar la detección sistemática, como listas de materiales de software verificables públicamente, de program, para poder verificar, detectar y rastrear cambios», dice Stefan Frei, oficial de seguridad de SDX Security y profesor de seguridad de aplicaciones en ETH Zurich, una gran universidad pública de Suiza. «Los cambios inesperados o grandes en una aplicación, un complemento o un proyecto populares de upstream desencadenarían una investigación más detallada para comprender el tipo de cambios introducidos».

Preguntas sin respuesta

La historia completa detrás de los cambios en el Good Suspender sigue sin estar clara. En junio de 2020, el responsable del mantenimiento del proyecto de código abierto vendió el proyecto a un grupo no identificado. Tres meses después, la extensión disponible en las tiendas Google Chrome y Microsoft Edge parecía contener un código cuestionable. Microsoft eliminó la extensión de Edge en noviembre, pero Google continuó ofreciendo la extensión en su tienda hasta el jueves pasado.

También es difícil encontrar información sobre la funcionalidad del código malicioso. Un análisis de la situación publicado por Callum McConnell en noviembre señaló que las últimas versiones disponibles en las tiendas parecían cargar datos intencionalmente ocultos.

«Debido a que el código malicioso cargado desde un servidor por la extensión … estaba muy ofuscado, es difícil decir qué pudo haber sido comprometido», indicó el análisis. «Sin embargo, aquellos que lograron realizar (a) un análisis exitoso del código informaron que no existían funciones de robo de contraseña en las copias que se archivaron».

Las empresas deben rastrear la lista de materiales del software y asegurarse de que el program en los sistemas de los usuarios se analice para detectar problemas de seguridad, y se rastree cualquier cambio en el código. El análisis de componentes de software (SCA), que rastrea el estado de los componentes de código abierto y otras bibliotecas, se ha vuelto rápidamente importante para las iniciativas del ciclo de vida de desarrollo seguro (SDL) de los fabricantes de computer software.

También puede ser necesaria una iniciativa más amplia, que involucre a un asociado de la industria o una agencia gubernamental para ejecutar dicho servicio, dice Frei de SDX Safety.

«Tal vez necesitemos un gobierno o una industria para administrar tal negocio … por el bien común», dice. «Junto con la firma de código (y) las reglas que los certificados (de código) se revocan si la propiedad cambia sin el proceso (o) aviso adecuado».

Los usuarios y las empresas deben esperar que los atacantes sigan creando campañas que se centren en ecosistemas más pequeños. Con Apple, Google y Microsoft invirtiendo más dinero en seguridad de software program, el uso de software package common con medidas de seguridad menos robustas será más común, dice Liu de Bishop Fox.

«Los atacantes se adaptarán moviéndose a estas otras áreas que no han recibido el mismo escrutinio de seguridad», dice. «Hay formas más baratas de obtener lo que quieren, por lo que estamos viendo cómo los adversarios se adaptan a esos cambios económicos».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Reading, MIT&#39s Technology Evaluate, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary