网络安全研究人员发现一款恶意Chrome扩展程序,该程序伪装成合法以太坊钱包,实则具备窃取用户助记词的功能。
这款名为“Safery: Ethereum Wallet”的扩展由威胁攻击者描述为”具备灵活设置的以太坊加密货币安全管理钱包”,于2025年9月29日上传至Chrome应用商店,最近更新日期为11月12日。截至发稿前仍可下载。
Socket安全研究员基里尔·博伊琴科指出:”该扩展虽被宣传为简易安全的以太坊钱包,实则包含通过Sui地址编码助记词的后门,并从攻击者控制的Sui钱包发起微交易实施窃取。”
该浏览器插件的恶意代码专门设计用于窃取钱包助记词,其通过将助记词编码为虚假Sui钱包地址,随后从硬编码的攻击者控制钱包向这些地址发送0.000001 SUI微交易。这种手法的最终目标是将助记词隐藏在看似正常的区块链交易中进行走私,无需架设C2服务器接收信息。交易完成后,攻击者可通过解码收款地址重建原始助记词,最终转移全部资产。
Koi安全团队在分析报告中强调:”该扩展通过将助记词编码为虚假Sui地址并发送微交易实施窃取,攻击者仅需监控区块链、将地址解码回助记词即可清空受害者资产。”
为应对此类威胁,建议用户坚持使用可信钱包扩展。安全防护人员应扫描扩展是否包含助记词编码器、合成地址生成器及硬编码助记词,并阻断在钱包导入或创建期间执行链上写入操作的扩展。
博伊琴科补充道:”该技术使威胁攻击者能轻松切换链和RPC端点,依赖域名、URL或特定扩展ID的检测手段将失效。对于浏览器中意外的区块链RPC调用应保持高度警觉,特别是当产品宣称仅支持单链时。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容