Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Crypto Copilot: злонамеренное расширение Chrome крадёт SOL через Raydium

3 мин
Недавнее исследование, проведенное компанией Socket, выявило вредоносное расширение для Chrome под названием Crypto Copilot, которое нацелено на трейдеров в экосистеме Solana. На первый взгляд расширение позиционируется как удобный инструмент для обмена данными прямо из Twitter, однако на самом деле оно внедряет скрытые платежи в транзакции Raydium и направляет комиссии на кошелек злоумышленника. По данным Socket, порядок действий выглядит следующим образом: после того как расширение формирует инструкции для свопа Raydium, оно вычисляет жестко заданную «плату платформы» и добавляет в транзакцию инструкцию SystemProgram.transfer. Такая инструкция отправляет SOL на адрес злоумышленника, при этом пользователь подписывает транзакцию, полагая, что подтверждает обычную сделку. «После сборки инструкций по обмену для Raydium расширение вычисляет жестко заданную плату платформы и добавляет к транзакции инструкцию SystemProgram.transfer.» Кроме того, архитектура расширения вызывает дополнительны
Оглавление

Недавнее исследование, проведенное компанией Socket, выявило вредоносное расширение для Chrome под названием Crypto Copilot, которое нацелено на трейдеров в экосистеме Solana. На первый взгляд расширение позиционируется как удобный инструмент для обмена данными прямо из Twitter, однако на самом деле оно внедряет скрытые платежи в транзакции Raydium и направляет комиссии на кошелек злоумышленника.

Кратко о находке

  • Расширение маскируется под легитимный утилитарный продукт, не указывая на дополнительные сборы или переводы в маркетинговых материалах.
  • Вредоносный механизм реализован на уровне построения транзакций расширения — до подписания пользователем.
  • Атака позволяет выкачивать средства, добавляя незаметные инструкции перевода в стандартную последовательность свопа.

Как работает атака

По данным Socket, порядок действий выглядит следующим образом: после того как расширение формирует инструкции для свопа Raydium, оно вычисляет жестко заданную «плату платформы» и добавляет в транзакцию инструкцию SystemProgram.transfer. Такая инструкция отправляет SOL на адрес злоумышленника, при этом пользователь подписывает транзакцию, полагая, что подтверждает обычную сделку.

«После сборки инструкций по обмену для Raydium расширение вычисляет жестко заданную плату платформы и добавляет к транзакции инструкцию SystemProgram.transfer.»

Кроме того, архитектура расширения вызывает дополнительные опасения:

  • Жестко закодированный ключ API Helius и ссылки на несколько узлов RPC обнаружены в коде.
  • Хотя сам своп инициируется на стороне клиента, дизайн предоставляет оператору информацию о подключенных учетных записях и торговом поведении пользователя.
  • Наличие централизованного серверного интерфейса позволяет оператору менять логику сервиса или ответы без обновления расширения — что расширяет возможности злоупотреблений.

Риски и последствия

  • Прямые потери средств: незаявленные переводы SOL на кошелек оператора.
  • Потеря приватности и аналитические утечки: оператор получает данные о действиях и подключенных счетах.
  • Долговременная экспозиция: централизованная логика позволяет распространять новые инструкции злоумышленника в любой момент.

Практические рекомендации для пользователей

  • Перед подписью транзакции внимательно изучайте инструкции — особенно на предмет неожиданных инструкций SystemProgram.transfer.
  • Избегайте использования торговых расширений с закрытым исходным кодом, которые запрашивают права на подпись транзакций.
  • Удалите подозрительные расширения (например, Crypto Copilot), при обнаружении компрометации перенесите активы на неподлежащее подключению «чистое» устройство/кошелек.
  • Устанавливайте расширения кошельков только со страниц проверенных издателей — не из случайных результатов поиска в Chrome Web Store.

Рекомендации для команд безопасности

  • Внедрять инструменты, анализирующие поведение расширений и потоки данных в браузере, чтобы выявлять манипуляции на уровне транзакций.
  • Блокировать обновления расширений и откатывать изменения, если обнаружены признаки злонамеренного поведения до того, как они достигнут конечных пользователей.
  • Проводить аудит расширений на предмет жестко закодированных ключей API, использования сторонних RPC и возможности централизованного изменения логики.

Соответствие MITRE ATT&CK framework

Инцидент согласуется с несколькими техниками из MITRE ATT&CK framework, включая компрометацию цепочки поставок, злоупотребления расширениями браузера, исполнение JavaScript, обфускацию данных и кражу денежных средств.

Вывод

Crypto Copilot демонстрирует классическую угрозу для пользователей DeFi: вредоносное ПО, маскирующееся под полезный инструмент и эксплуатирующее доверие при подписании транзакций. Для пользователей Solana это еще одно напоминание: всегда проверяйте содержимое транзакций перед подписью, устанавливайте расширения только из надежных источников и держите критически важные активы на «холодных» или чистых кошельках. Командам безопасности рекомендуется усилить мониторинг поведения расширений и блокировать подозрительные обновления до того, как злоумышленники получат доступ к массовым массовым жертвам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Crypto Copilot: злонамеренное расширение Chrome крадёт SOL через Raydium".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.