最近,Google Chrome的一個擴展程序被發現在網頁上注入惡意的JavaScript代碼。該代碼使得該擴展程序能夠從互聯網用戶的比特幣錢包和加密貨幣門戶中竊取各種密碼和私鑰。
這個擴展程序的名字非常不雅,叫做Shitcoin Wallet,擴展ID為ckkgmccefffnbbalkmbbgebbojjogffn。該擴展程序於去年12月9日推出。
在該擴展程序的介紹博客文章中,開發團隊將Shitcoin Wallet描述為一個錢包,可以讓用戶購買和管理以太坊幣。此外,Shitcoin Wallet還支持基於ERC20的代幣,這種代幣通常通過首次代幣發行(ICO)方式發放。
這個Chrome擴展程序如果只是單純的話,還是有其方便之處的。用戶可以安裝該擴展程序,在自己的瀏覽器中管理ETH和其ERC-20代幣。此外,用戶還可以安裝Windows桌面應用程序,以便在瀏覽器的高風險環境之外管理他們的資金。
然而,事情在哈里·登利(Harry Denley)揭示真相後開始變得混亂。登利是MyCrypto平台的安全總監,他發現這個擴展程序內部存在惡意代碼。似乎沒有什麼東西是純粹為了所有人的利益。
登利解釋說,該擴展程序有兩個重大問題。首先,任何在擴展程序內直接管理的資金都存在風險。這是因為該擴展程序將其界面中管理或創建的任何錢包的私鑰發送到一個第三方網站,該網站的地址是erc20wallet[.]tk。
第二個關鍵問題是,當用戶訪問五個知名的加密貨幣管理平台時,該擴展程序會主動注入JavaScript代碼。注入的惡意代碼會竊取這些平台的私鑰和登錄詳細信息,並將其發送到同一個第三方網站。
對代碼的詳細分析顯示了整個過程。首先,用戶安裝該擴展程序,然後該擴展程序請求在77個網站上注入更多的JavaScript代碼。當訪問這77個網站之一時,該擴展程序加載並注入來自https://erc20wallet[.]tk/js/content_.js的另一個JavaScript文件。該文件包含了一段混淆的代碼,會在以下五個網站上啟動:MyEtherWallet.com、Idex.Market、Binance.org、NeoTracker.io和Switcheo.exchange。這段代碼會記錄用戶創建的私鑰和登錄信息,並將其發送到第三方網站。
加入我們的Telegram頻道,隨時了解最新的新聞報導。
