Safery: Ethereum tárca Chrome-bővítmény
Kiberbiztonsági kutatók azonosítottak egy veszélyes Chrome-bővítményt, amely legitim Ethereum-tárcának álcázza magát. A Safery: Ethereum Wallet névre keresztelt bővítmény azt állítja, hogy „biztonságos tárcát kínál az Ethereum kriptovaluta rugalmas beállításokkal történő kezelésére”. Először 2025. szeptember 29-én töltötték fel a Chrome Webáruházba, a legutóbbi frissítése november 12-én történt. Annak ellenére, hogy egyszerű és biztonságos Ethereum (ETH) tárcaként tűnik fel, kifinomult rosszindulatú programot rejt, amelynek célja a felhasználók seed phrase-einek ellopása.
Tartalomjegyzék
Hogyan működik a kártevő
A rosszindulatú bővítmény egy hátsó ajtót tartalmaz, amely hamis Sui-címekbe kódolva szivárog ki a tárca emlékeztető kifejezéseit. Ezután mikrotranzakciókat sugároz egy fenyegetés által vezérelt Sui-tárcából, lehetővé téve a támadó számára, hogy bizalmas információkat szerezzen egy hagyományos Command-and-Control (C2) szerver nélkül.
A munkafolyamat a következő:
- A kiterjesztés a felhasználó seed phrase-ét Sui címként kódolja.
- Apró mikrotranzakciókat (0,000001 SUI) küld ezekre a hamis címekre a támadó tárcájából.
- A támadó figyeli a blokkláncot, és dekódolja a címzettek címeit, hogy rekonstruálja az eredeti seed frázisokat.
- A rekonstrukció után a támadó kiürítheti az áldozat pénztárcájából a vagyonát.
Ez a módszer lehetővé teszi a támadó számára, hogy érzékeny adatokat csempésszen át látszólag szokásos blokklánc-tranzakciókon keresztül, megkerülve a hagyományos észlelési mechanizmusokat.
Fenyegetésészlelési kihívások
Ez a támadási technika különösen észrevétlen, mivel lehetővé teszi a fenyegetések szereplői számára, hogy könnyen váltsanak láncok és RPC-végpontok között. Ennek eredményeként a kizárólag domainekre, URL-ekre vagy adott bővítmény-azonosítókra támaszkodó védelem kudarcot vallhat. A böngészőből érkező váratlan blokklánc RPC-hívásokat, különösen akkor, ha a termék azt állítja, hogy egyetlen láncon működik, magas kockázatú jelzésként kell kezelni.
Ajánlott mérséklési stratégiák
A fenyegetés elleni védekezés érdekében a kiberbiztonsági szakértők a következő óvintézkedéseket javasolják:
Felhasználóknak : Csak megbízható és ellenőrzött forrásból származó pénztárca-bővítményeket telepítsen. Kerülje az újonnan közzétett vagy kevés értékeléssel rendelkező bővítményeket.
Védekezőknek : Vizsgálja meg a böngészőbővítményeket rosszindulatú viselkedések, például mnemonikus kódolók, szintetikus címgenerátorok és fixen kódolt kezdőmondatok után. Blokkoljon minden olyan bővítményt, amely tranzakciókat próbál meg a láncra írni a tárca létrehozása vagy importálása során.
Ezen óvintézkedések alkalmazásával mind a végfelhasználók, mind a biztonsági csapatok jelentősen csökkenthetik a kezdőmondat-lopás és a jogosulatlan pénzfelvételek kockázatát.
