Расширение браузера Chrome под названием Safery: Ethereum Wallet скрытно извлекает сид-фразы пользователей, позволяя злоумышленникам захватывать управление кошельками в экосистеме Эфириума, заявили специалисты по кибербезопасности компании Socket.
Расширение маскируется под стандартный эфириум-кошелек и занимает четвертую позицию в выборке поисковика Chrome по запросу «Ethereum Wallet» — сразу за MetaMask и другими вполне безопасными приложениями, рассказали эксперты Socket.
При создании нового кошелька или импорте существующего расширение декодирует мнемоническую фразу пользователя (сид-фразу из 12–24 слов) в синтетические hex-адреса сети Sui, а затем отправляет на эти адреса микротранзакции по 0,000001 SUI для создания видимости соблюдения сетевых правил.
«Для сторонних наблюдателей это выглядит как микротранзакции произвольным получателям, но на самом деле адреса назначения представляют собой фрагменты мнемонической фразы пользователя. Используя тот же декодер, встроенный в расширение, злоумышленник восстанавливает начальную фразу слово за словом и получает полный контроль над кошельком жертвы. Раскрытие сид-фраз происходит исключительно в рамках обычного блокчейн-трафика», — объяснили специалисты по безопасности.
Подобная схема кражи конфиденциальных данных позволяет злоумышленникам обойти традиционные системы обнаружения, использующие домены, URL-адреса или определенные идентификаторы расширений, добавили эксперты Socket.
Ранее специалисты по кибербезопасности компании Mosyle сообщили о вирусе ModStealer, который ворует данные криптокошельков с устройств на Windows, Linux и macOS.