Ασφάλεια: Επέκταση Chrome για το Πορτοφόλι Ethereum
Ερευνητές κυβερνοασφάλειας εντόπισαν μια επικίνδυνη επέκταση του Chrome που μεταμφιέζεται σε νόμιμο πορτοφόλι Ethereum. Με την ονομασία Safery: Ethereum Wallet, η επέκταση ισχυρίζεται ότι προσφέρει ένα «ασφαλές πορτοφόλι για τη διαχείριση του κρυπτονομίσματος Ethereum με ευέλικτες ρυθμίσεις». Ανέβηκε για πρώτη φορά στο Chrome Web Store στις 29 Σεπτεμβρίου 2025, με την πιο πρόσφατη ενημέρωσή της στις 12 Νοεμβρίου. Παρά την εμφάνισή της ως ένα απλό και ασφαλές πορτοφόλι Ethereum (ETH), κρύβει εξελιγμένο κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέβει τις φράσεις seed των χρηστών.
Πίνακας περιεχομένων
Πώς λειτουργεί το κακόβουλο λογισμικό
Η κακόβουλη επέκταση περιέχει μια κερκόπορτα που υποκλέπτει μνημονικές φράσεις πορτοφολιού κωδικοποιώντας τες σε ψεύτικες διευθύνσεις Sui. Στη συνέχεια, μεταδίδει μικροσυναλλαγές από ένα πορτοφόλι Sui που ελέγχεται από απειλητικούς παράγοντες, επιτρέποντας στον εισβολέα να εξαγάγει ευαίσθητες πληροφορίες χωρίς έναν παραδοσιακό διακομιστή Command-and-Control (C2).
Η ροή εργασίας έχει ως εξής:
- Η επέκταση κωδικοποιεί τη φράση seed ενός χρήστη ως διεύθυνση Sui.
- Στέλνει μικροσκοπικές μικροσυναλλαγές (0,000001 SUI) σε αυτές τις ψεύτικες διευθύνσεις από το πορτοφόλι του εισβολέα.
- Ο εισβολέας παρακολουθεί το blockchain και αποκωδικοποιεί τις διευθύνσεις των παραληπτών για να ανακατασκευάσει τις αρχικές φράσεις seed.
- Μόλις ανακατασκευαστεί, ο εισβολέας μπορεί να αποστραγγίσει τα περιουσιακά στοιχεία του θύματος από το πορτοφόλι του.
Αυτή η μέθοδος επιτρέπει στον εισβολέα να εισάγει λαθραία ευαίσθητα δεδομένα μέσω φαινομενικά φυσιολογικών συναλλαγών blockchain, παρακάμπτοντας τους παραδοσιακούς μηχανισμούς ανίχνευσης.
Προκλήσεις ανίχνευσης απειλών
Αυτή η τεχνική επίθεσης είναι ιδιαίτερα αθόρυβη, επειδή επιτρέπει στους απειλητικούς παράγοντες να αλλάζουν εύκολα αλυσίδες και τελικά σημεία RPC. Ως αποτέλεσμα, οι άμυνες που βασίζονται αποκλειστικά σε τομείς, διευθύνσεις URL ή συγκεκριμένα αναγνωριστικά επέκτασης ενδέχεται να αποτύχουν. Οι μη αναμενόμενες κλήσεις RPC blockchain από το πρόγραμμα περιήγησης, ειδικά όταν το προϊόν ισχυρίζεται ότι λειτουργεί σε μία μόνο αλυσίδα, θα πρέπει να αντιμετωπίζονται ως σήματα υψηλού κινδύνου.
Συνιστώμενες στρατηγικές μετριασμού
Για την προστασία από αυτήν την απειλή, οι ειδικοί στον κυβερνοχώρο συμβουλεύουν τις ακόλουθες προφυλάξεις:
Για χρήστες : Εγκαθιστάτε μόνο επεκτάσεις πορτοφολιού από αξιόπιστες και επαληθευμένες πηγές. Αποφύγετε τις επεκτάσεις που έχουν δημοσιευτεί πρόσφατα ή έχουν περιορισμένες κριτικές.
Για υπερασπιστές : Σαρώστε τις επεκτάσεις του προγράμματος περιήγησης για κακόβουλες συμπεριφορές, όπως κωδικοποιητές μνημονικών, γεννήτριες συνθετικών διευθύνσεων και φράσεις seed με ενσωματωμένο κώδικα. Αποκλείστε οποιαδήποτε επέκταση που επιχειρεί να γράψει συναλλαγές στην αλυσίδα κατά τη δημιουργία ή την εισαγωγή πορτοφολιού.
Εφαρμόζοντας αυτές τις προφυλάξεις, τόσο οι τελικοί χρήστες όσο και οι ομάδες ασφαλείας μπορούν να μειώσουν σημαντικά τον κίνδυνο κλοπής φράσης seed και μη εξουσιοδοτημένων αναλήψεων κεφαλαίων.
