国内

当前位置/ 首页/ 国内 正文

Chrome扩展程序发现窃取加密钱包私钥

一个Google Chrome扩展程序被发现在网页上注入了JavaScript代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。

该扩展名为Shitcoin Wallet(Chrome扩展ID:ckkgmccefffnbbalkmbbgebbojjogffn),于12月9日启动。

根据介绍性博客文章,Shitcoin Wallet允许用户管理以太(ETH)硬币,也可以管理基于以太坊ERC20的代币-通常为ICO发行的代币(初始代币发行)。

用户可以从自己的浏览器中安装Chrome扩展程序并管理ETH硬币和ERC20令牌,如果想从浏览器的高风险环境之外管理资金,则可以安装Windows桌面应用。

恶意行为细分

但是,钱包应用程序并不是它所承诺的。昨天,MyCrypto平台的安全总监Harry Denley发现该扩展程序包含恶意代码。

根据Denley的说法,扩展名对用户有两种危险。首先,直接在扩展内管理的任何资金(ETH硬币和基于ERC0的代币)都处于风险中。

Denley说,该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于erc20wallet [。] tk的第三方网站。

其次,当用户导航到五个著名和流行的加密货币管理平台时,该扩展程序还可以主动注入恶意JavaScript代码。此代码将窃取登录凭据和私钥,以及将其发送到同一erc20wallet [。] tk第三方网站的数据。

根据对恶意代码的分析,该过程如下:

用户安装Chrome扩展程序

Chrome扩展程序请求在77个网站上[ 此处列出] 注入JavaScript(JS)代码的权限

当用户导航到这77个站点中的任何一个时,扩展程序都会从​​以下位置加载并注入其他JS文件:https:// erc20wallet [。] tk / js / content_.js

该JS文件包含混淆的代码[ 在此处混淆]

该代码激活五个网站:MyEtherWallet.com,Idex.Market,Binance.org,NeoTracker.io,并Switcheo.exchange

一旦激活,恶意JS代码就会记录用户的登录凭据,搜索存储在这五个服务的仪表板中的私钥,最后将数据发送到erc20wallet [。] tk

在撰写本文时,该扩展程序仍可通过官方Google Chrome Web Store下载,其中列出了625安装。

目前尚不清楚Shitcoin Wallet团队是否应对恶意代码负责,或者Chrome扩展是否受到第三方的破坏。在发布本文之前,Shitcoin Wallet团队的发言人未回复置评请求。

桌面应用

在扩展程序的官方网站上,用户还可以使用32位和64位安装程序。

使用VirusTotal进行的扫描是一个汇总了多个防病毒软件制造商的病毒扫描引擎的网站,将这两个文件显示为干净。

但是,在钱包的电报频道上发布的大量评论表明,桌面应用程序可能包含类似的恶意代码,即使情况更糟。