Safery: Ethereum-lompakon Chrome-laajennus
Kyberturvallisuustutkijat ovat tunnistaneet vaarallisen Chrome-laajennuksen, joka naamioituu lailliseksi Ethereum-lompakoksi. Safery: Ethereum Wallet -niminen laajennus väittää tarjoavansa "turvallisen lompakon Ethereum-kryptovaluutan hallintaan joustavilla asetuksilla". Se ladattiin ensimmäisen kerran Chrome Web Storeen 29. syyskuuta 2025, ja sen viimeisin päivitys tapahtui 12. marraskuuta. Vaikka se näyttää yksinkertaiselta ja turvalliselta Ethereum (ETH) -lompakolta, se kätkee sisäänsä hienostuneen haittaohjelman, joka on suunniteltu varastamaan käyttäjien seed-lausekkeita.
Sisällysluettelo
Miten haittaohjelma toimii
Haitallinen laajennus sisältää takaoven, joka soluttaa lompakon muistilausekkeita koodaamalla ne väärennetyiksi Sui-osoitteiksi. Sitten se lähettää mikro-tapahtumia uhkatoimijan hallitsemasta Sui-lompakosta, jolloin hyökkääjä voi purkaa arkaluonteisia tietoja ilman perinteistä Command-and-Control (C2) -palvelinta.
Työnkulku on seuraava:
- Laajennus koodaa käyttäjän siemenlausekkeen Sui-osoitteeksi.
- Se lähettää pieniä mikrotransaktioita (0,000001 SUI) näihin väärennettyihin osoitteisiin hyökkääjän lompakosta.
- Hyökkääjä valvoo lohkoketjua ja dekoodaa vastaanottajien osoitteet rekonstruoidakseen alkuperäiset siemenlausekkeet.
- Kun hyökkääjä on rekonstruoinut tilanteen, hän voi tyhjentää uhrin varat tämän lompakosta.
Tämä menetelmä mahdollistaa hyökkääjän salakuljettaa arkaluonteisia tietoja näennäisesti tavallisten lohkoketjutapahtumien kautta ohittaen perinteiset havaitsemismekanismit.
Uhkien havaitsemisen haasteet
Tämä hyökkäystekniikka on erityisen huomaavainen, koska se antaa uhkatoimijoille mahdollisuuden vaihtaa ketjuja ja RPC-päätepisteitä helposti. Tämän seurauksena pelkästään verkkotunnuksiin, URL-osoitteisiin tai tiettyihin laajennustunnuksiin perustuvat puolustusmekanismit voivat epäonnistua. Selaimen odottamattomat lohkoketjun RPC-kutsuja, erityisesti silloin, kun tuote väittää toimivansa yhdessä ketjussa, tulisi käsitellä korkean riskin signaaleina.
Suositellut lieventämisstrategiat
Suojautuakseen tältä uhalta kyberturvallisuusasiantuntijat suosittelevat seuraavia varotoimia:
Käyttäjille : Asenna lompakkolaajennuksia vain luotettavista ja varmennetuista lähteistä. Vältä laajennuksia, jotka on julkaistu äskettäin tai joilla on vähän arvosteluja.
Puolustajille : Tarkista selainlaajennukset haitallisten toimintojen, kuten muistikoodaajien, synteettisten osoitegeneraattoreiden ja kiinteästi koodattujen siemenlausekkeiden, varalta. Estä kaikki laajennukset, jotka yrittävät kirjoittaa tapahtumia ketjuun lompakon luomisen tai tuonnin aikana.
Näitä varotoimia soveltamalla sekä loppukäyttäjät että turvallisuustiimit voivat merkittävästi vähentää siemenlausekkeiden varkauksien ja luvattomien varojen nostojen riskiä.
