Bezpieczeństwo: rozszerzenie portfela Ethereum dla przeglądarki Chrome
Badacze ds. cyberbezpieczeństwa zidentyfikowali niebezpieczne rozszerzenie przeglądarki Chrome podszywające się pod legalny portfel Ethereum. Rozszerzenie o nazwie Safery: Ethereum Wallet oferuje „bezpieczny portfel do zarządzania kryptowalutą Ethereum z elastycznymi ustawieniami”. Zostało ono po raz pierwszy udostępnione w sklepie Chrome Web Store 29 września 2025 roku, a ostatnia aktualizacja miała miejsce 12 listopada. Pomimo pozorów prostego i bezpiecznego portfela Ethereum (ETH), kryje ono w sobie wyrafinowane złośliwe oprogramowanie, którego celem jest kradzież fraz początkowych użytkowników.
Spis treści
Jak działa złośliwe oprogramowanie
Złośliwe rozszerzenie zawiera backdoor, który wykrada frazy mnemoniczne portfela, kodując je w fałszywych adresach Sui. Następnie rozsyła mikrotransakcje z portfela Sui kontrolowanego przez atakującego, umożliwiając atakującemu wydobycie poufnych informacji bez tradycyjnego serwera Command-and-Control (C2).
Przebieg pracy jest następujący:
- Rozszerzenie koduje frazę początkową użytkownika jako adres Sui.
- Wysyła z portfela atakującego na fałszywe adresy niewielkie mikrotransakcje (0,000001 SUI).
- Atakujący monitoruje blockchain i dekoduje adresy odbiorców w celu odtworzenia oryginalnych fraz początkowych.
- Po odtworzeniu danych atakujący może opróżnić portfel ofiary ze wszystkich środków.
Metoda ta umożliwia atakującemu przemycenie poufnych danych za pomocą pozornie normalnych transakcji blockchain, omijając tradycyjne mechanizmy wykrywania.
Wyzwania związane z wykrywaniem zagrożeń
Ta technika ataku jest szczególnie dyskretna, ponieważ pozwala atakującym na łatwe przełączanie łańcuchów i punktów końcowych RPC. W rezultacie mechanizmy obronne oparte wyłącznie na domenach, adresach URL lub identyfikatorach rozszerzeń mogą zawieść. Nieoczekiwane wywołania RPC blockchain z przeglądarki, zwłaszcza gdy produkt twierdzi, że działa w ramach pojedynczego łańcucha, należy traktować jako sygnały wysokiego ryzyka.
Zalecane strategie łagodzenia
Aby chronić się przed tym zagrożeniem, eksperci ds. cyberbezpieczeństwa zalecają podjęcie następujących środków ostrożności:
Dla użytkowników : Instaluj rozszerzenia portfela wyłącznie ze sprawdzonych i zweryfikowanych źródeł. Unikaj rozszerzeń, które zostały niedawno opublikowane lub mają ograniczoną liczbę recenzji.
Dla obrońców : skanuj rozszerzenia przeglądarki pod kątem szkodliwych zachowań, takich jak kodery mnemoniczne, generatory syntetycznych adresów i zakodowane na stałe frazy początkowe. Blokuj wszelkie rozszerzenia, które próbują zapisywać transakcje w łańcuchu podczas tworzenia lub importowania portfela.
Stosując te środki ostrożności, zarówno użytkownicy końcowi, jak i zespoły ds. bezpieczeństwa mogą znacząco ograniczyć ryzyko kradzieży frazy początkowej i nieautoryzowanych wypłat środków.
