Safery: Розширення гаманця Ethereum для Chrome
Дослідники з кібербезпеки виявили небезпечне розширення Chrome, яке маскується під легітимний гаманець Ethereum. Розширення під назвою Safery: Ethereum Wallet стверджує, що пропонує «безпечний гаманець для керування криптовалютою Ethereum з гнучкими налаштуваннями». Вперше його було завантажено до веб-магазину Chrome 29 вересня 2025 року, а останнє оновлення відбулося 12 листопада. Незважаючи на те, що воно виглядає як простий і безпечний гаманець Ethereum (ETH), воно приховує складне шкідливе програмне забезпечення, призначене для крадіжки порожніх фраз користувачів.
Зміст
Як працює шкідливе програмне забезпечення
Шкідливе розширення містить бекдор, який викрадає мнемонічні фрази гаманця, кодуючи їх у фальшиві адреси Sui. Потім воно транслює мікротранзакції з гаманця Sui, контрольованого зловмисником, дозволяючи зловмиснику витягувати конфіденційну інформацію без традиційного сервера командування та управління (C2).
Робочий процес виглядає наступним чином:
- Розширення кодує початкову фразу користувача як адресу Sui.
- Він надсилає крихітні мікротранзакції (0,000001 SUI) на ці фальшиві адреси з гаманця зловмисника.
- Зловмисник моніторить блокчейн і декодує адреси одержувачів, щоб реконструювати оригінальні початкові фрази.
- Після реконструкції зловмисник може вивести активи жертви з її гаманця.
Цей метод дозволяє зловмиснику контрабандою передавати конфіденційні дані через, здавалося б, звичайні блокчейн-транзакції, минаючи традиційні механізми виявлення.
Проблеми виявлення загроз
Ця техніка атаки є особливо прихованою, оскільки дозволяє зловмисникам легко змінювати ланцюжки та кінцеві точки RPC. Як результат, захист, що покладається виключно на домени, URL-адреси або певні ідентифікатори розширень, може дати збій. Неочікувані виклики RPC блокчейну з браузера, особливо коли продукт стверджує, що працює в одному ланцюжку, слід розглядати як сигнали високого ризику.
Рекомендовані стратегії пом’якшення наслідків
Щоб захиститися від цієї загрози, експерти з кібербезпеки радять вжити таких запобіжних заходів:
Для користувачів : Встановлюйте розширення гаманця лише з перевірених та перевірених джерел. Уникайте розширень, які нещодавно опубліковані або мають обмежену кількість відгуків.
Для захисників : скануйте розширення браузера на наявність шкідливої поведінки, такої як мнемонічні кодери, генератори синтетичних адрес та жорстко закодовані порожні фрази. Блокуйте будь-яке розширення, яке намагається записувати транзакції в блокчейні під час створення або імпорту гаманця.
Застосовуючи ці запобіжні заходи, як кінцеві користувачі, так і служби безпеки можуть значно зменшити ризик крадіжки початкової фрази та несанкціонованого виведення коштів.
