一个Google Chrome扩展程序被发现在网页上注入了JavaScript代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。
该扩展名为Shitcoin Wallet(Chrome扩展ID:ckkgmccefffnbbalkmbbgebbojjogffn),于12月9日启动。
根据介绍性博客文章,Shitcoin Wallet允许用户管理以太(ETH)硬币,也可以管理基于以太坊ERC20的代币-通常为ICO发行的代币(初始代币发行)。
用户可以从自己的浏览器中安装Chrome扩展程序并管理ETH硬币和ERC20令牌,如果想从浏览器的高风险环境之外管理资金,则可以安装Windows桌面应用。
恶意行为细分
但是,钱包应用程序并不是它所承诺的那样。昨天,MyCrypto平台的安全总监Harry Denley发现该扩展程序包含恶意代码。
根据Denley的说法,Shitcoin Wallet对用户有两种危险。首先,直接在扩展内管理的任何资金(ETH硬币和基于ERC0的代币)都处于风险中。
Denley说,该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于erc20wallet[.]tk的第三方网站。
其次,当用户导航到五个著名和流行的加密货币管理平台时,该扩展程序还可以主动注入恶意JavaScript代码。此代码将窃取登录凭据和私钥,以及将其发送到同一erc20wallet[.]tk第三方网站的数据。
根据对恶意代码的分析,该过程如下:
- 用户安装Chrome扩展程序
- Chrome扩展程序请求在77个网站上[ 此处列出] 注入JavaScript(JS)代码的权限
- 当用户导航到这77个站点中的任何一个时,扩展程序都会从以下位置加载并注入其他JS文件:https://erc20wallet[.]tk/js/content_.js
- 该JS文件包含混淆的代码[ 在此处混淆]
- 该代码激活五个网站:MyEtherWallet.com,Idex.Market,Binance.org,NeoTracker.io,并Switcheo.exchange
- 一旦激活,恶意JS代码就会记录用户的登录凭据,搜索存储在这五个服务的仪表板中的私钥,最后将数据发送到erc20wallet[.]tk
在撰写本文时,该扩展程序仍可通过官方Google Chrome Web Store下载。
目前尚不清楚Shitcoin Wallet团队是否应对恶意代码负责,或者Chrome扩展是否受到第三方的破坏。在发布本文之前,Shitcoin Wallet团队的发言人未回复置评请求。
桌面应用
在扩展程序的官方网站上,用户还可以使用32位和64位安装程序。
而使用VirusTotal进行的扫描,将这两个文件显示为干净。
但是,在钱包的电报频道上发布的大量评论表明,桌面应用程序可能包含类似的恶意代码。
*编译:Domino
*来源:ZDNET