Безопасность: расширение Ethereum Wallet для Chrome

Исследователи кибербезопасности обнаружили опасное расширение для Chrome, маскирующееся под легальный кошелёк Ethereum. Расширение под названием Safery: Ethereum Wallet обещает «безопасный кошелёк для управления криптовалютой Ethereum с гибкими настройками». Впервые оно было загружено в интернет-магазин Chrome 29 сентября 2025 года, а последнее обновление вышло 12 ноября. Несмотря на то, что оно выглядит как простой и безопасный кошелёк Ethereum (ETH), оно скрывает сложное вредоносное ПО, предназначенное для кражи сид-фраз пользователей.

Как работает вредоносное ПО

Вредоносное расширение содержит бэкдор, который извлекает мнемонические фразы кошелька, кодируя их в поддельные адреса Sui. Затем оно транслирует микротранзакции из кошелька Sui, контролируемого злоумышленником, что позволяет злоумышленнику извлекать конфиденциальную информацию без использования традиционного сервера управления (C2).

Рабочий процесс выглядит следующим образом:

• Расширение кодирует начальную фразу пользователя как Sui-адрес.
• Он отправляет крошечные микротранзакции (0,000001 SUI) на эти поддельные адреса из кошелька злоумышленника.
• Злоумышленник отслеживает блокчейн и декодирует адреса получателей, чтобы восстановить исходные начальные фразы.
• После реконструкции злоумышленник может слить активы из кошелька жертвы.

Этот метод позволяет злоумышленнику пересылать конфиденциальные данные через, казалось бы, обычные транзакции в блокчейне, обходя традиционные механизмы обнаружения.

Проблемы обнаружения угроз

Этот метод атаки особенно скрытен, поскольку позволяет злоумышленникам легко переключаться между цепочками и конечными точками RPC. В результате защита, основанная исключительно на доменах, URL-адресах или идентификаторах расширений, может потерпеть неудачу. Неожиданные RPC-вызовы блокчейна из браузера, особенно если продукт заявляет о работе с одной цепочкой, следует рассматривать как сигналы высокого риска.

Рекомендуемые стратегии смягчения последствий

Для защиты от этой угрозы эксперты по кибербезопасности рекомендуют следующие меры предосторожности:

Для пользователей : устанавливайте расширения кошелька только из проверенных и надежных источников. Избегайте расширений, которые недавно были опубликованы или имеют ограниченное количество отзывов.

Для защитников : сканируйте расширения браузера на наличие вредоносного поведения, такого как мнемонические кодировщики, генераторы синтетических адресов и жёстко запрограммированные начальные фразы. Блокируйте любые расширения, которые пытаются записывать транзакции в блокчейн во время создания или импорта кошелька.

Применяя эти меры предосторожности, как конечные пользователи, так и службы безопасности могут значительно снизить риск кражи секретной фразы и несанкционированного снятия средств.