Safery: estensione Chrome per il portafoglio Ethereum
I ricercatori di sicurezza informatica hanno identificato una pericolosa estensione di Chrome mascherata da legittimo portafoglio Ethereum. Denominata Safery: Ethereum Wallet, l'estensione afferma di offrire un "portafoglio sicuro per la gestione della criptovaluta Ethereum con impostazioni flessibili". È stata caricata per la prima volta sul Chrome Web Store il 29 settembre 2025, con il suo ultimo aggiornamento il 12 novembre. Nonostante il suo aspetto di un portafoglio Ethereum (ETH) semplice e sicuro, nasconde un malware sofisticato progettato per rubare le seed phrase degli utenti.
Sommario
Come funziona il malware
L'estensione dannosa contiene una backdoor che esfiltra le frasi mnemoniche del portafoglio codificandole in falsi indirizzi Sui. Quindi trasmette microtransazioni da un portafoglio Sui controllato dall'aggressore, consentendo all'aggressore di estrarre informazioni sensibili senza un tradizionale server di comando e controllo (C2).
Il flusso di lavoro è il seguente:
- L'estensione codifica la frase seed di un utente come indirizzo Sui.
- Invia minuscole microtransazioni (0,000001 SUI) a questi indirizzi falsi dal portafoglio dell'aggressore.
- L'aggressore monitora la blockchain e decodifica gli indirizzi dei destinatari per ricostruire le seed phrase originali.
- Una volta ricostruito, l'aggressore può prosciugare i beni della vittima dal suo portafoglio.
Questo metodo consente all'aggressore di introdurre di nascosto dati sensibili attraverso transazioni blockchain apparentemente normali, aggirando i meccanismi di rilevamento tradizionali.
Sfide nel rilevamento delle minacce
Questa tecnica di attacco è particolarmente furtiva perché consente agli autori delle minacce di cambiare facilmente chain ed endpoint RPC. Di conseguenza, le difese basate esclusivamente su domini, URL o ID di estensione specifici potrebbero fallire. Le chiamate RPC inaspettate alla blockchain provenienti dal browser, soprattutto quando il prodotto dichiara di operare su una singola chain, devono essere trattate come segnali ad alto rischio.
Strategie di mitigazione consigliate
Per proteggersi da questa minaccia, gli esperti di sicurezza informatica consigliano le seguenti precauzioni:
Per gli utenti : installate solo estensioni del portafoglio da fonti affidabili e verificate. Evitate estensioni appena pubblicate o con recensioni limitate.
Per i difensori : scansionare le estensioni del browser alla ricerca di comportamenti dannosi come codificatori mnemonici, generatori di indirizzi sintetici e frasi seed hard-coded. Bloccare qualsiasi estensione che tenti di scrivere transazioni on-chain durante la creazione o l'importazione del wallet.
Applicando queste precauzioni, sia gli utenti finali che i team di sicurezza possono ridurre significativamente il rischio di furto di frasi seed e di prelievi di fondi non autorizzati.
