Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Crypto Copilot в Chrome крадет SOL через скрытые комиссии Raydium

3 мин
Недавнее исследование компании Socket выявило вредоносное расширение для Chrome под названием Crypto Copilot, нацеленное на трейдеров в экосистеме Solana. На первый взгляд расширение позиционируется как удобный инструмент для обмена данными напрямую из Twitter, но на деле оно встраивает скрытые переводы при создании своп-транзакций на Raydium и перенаправляет комиссионные средства на кошелек злоумышленника. Ключевые выводы отчета Socket: Опасность связана не только с самой кражей средств, но и с архитектурными характеристиками расширения: Если вы работаете с кошельками и сидите в экосистеме Solana, выполните следующие действия: Инцидент коррелирует с несколькими техниками и тактиками из MITRE ATT&CK framework, в частности: Случай с Crypto Copilot демонстрирует, насколько тонкими и опасными могут быть атаки на уровне клиента в криптовалютных экосистемах. Критически важно, чтобы пользователи и команды безопасности применяли превентивные меры: проверяли транзакции, устанавливали расширени
Оглавление

Недавнее исследование компании Socket выявило вредоносное расширение для Chrome под названием Crypto Copilot, нацеленное на трейдеров в экосистеме Solana. На первый взгляд расширение позиционируется как удобный инструмент для обмена данными напрямую из Twitter, но на деле оно встраивает скрытые переводы при создании своп-транзакций на Raydium и перенаправляет комиссионные средства на кошелек злоумышленника.

Что именно обнаружили исследователи

Ключевые выводы отчета Socket:

  • Вредоносный механизм действует на уровне сборки транзакций в расширении: после формирования инструкций для свопа на Raydium расширение вычисляет жестко заданную плату и добавляет в транзакцию инструкцию SystemProgram.transfer, направляя незадекларированный сбор на кошелек оператора.
  • Расширение маскируется под полезный инструмент и не раскрывает наличие дополнительных сборов в своем маркетинге.
  • В коде зафиксированы жестко закодированный ключ API Helius и ссылки на несколько узлов RPC, что повышает оперативные возможности злоумышленника.
  • Хотя сборка свопа происходит на стороне клиента, архитектура обеспечивает оператору значительную информацию о поведении пользовательского кошелька: подключенные аккаунты и торговая активность.
  • Централизованный серверный интерфейс позволяет изменить логику сервиса без обновления расширения, что расширяет возможности для дальнейших атак.

Как работает атака — по шагам

  • Пользователь инициирует своп через расширение Crypto Copilot.
  • Расширение формирует стандартные инструкции обмена для Raydium.
  • Перед окончательной отправкой в транзакцию добавляется жестко заданная инструкция SystemProgram.transfer.
  • Пользователь подписывает транзакцию, полагая, что подтверждает легальную операцию свопа.
  • После подписи средства незаметно перечисляются на адрес оператора в качестве скрытой комиссии.

Почему это особенно опасно

Опасность связана не только с самой кражей средств, но и с архитектурными характеристиками расширения:

  • Жестко закодированный API Helius и множественные RPC-узлы позволяют злоумышленникам получать и обрабатывать данные вне контроля пользователя.
  • Серверная часть может динамически менять ответы и логику без обновления расширения, что делает своевременное обнаружение и блокирование более сложным.
  • Доступ к информации о подключенных аккаунтах и торговом поведении повышает риск дальнейших целевых атак.

Рекомендации для пользователей

Если вы работаете с кошельками и сидите в экосистеме Solana, выполните следующие действия:

  • Внимательно проверяйте все инструкции транзакции перед подписанием — особенно наличие неожиданных инструкций SystemProgram.transfer.
  • Избегайте установки торговых расширений с закрытым исходным кодом, которые запрашивают разрешение на подпись транзакций.
  • Удалите потенциально скомпрометированные расширения (например, Crypto Copilot) и перенесите активы на чистые, неподключенные кошельки.
  • Устанавливайте расширения кошельков только со страниц проверенных издателей, а не из случайных результатов поиска в Chrome Web Store.

Рекомендации для команд безопасности

  • Используйте инструменты анализа поведения расширений браузера и мониторинга потоков данных, чтобы выявлять манипулятивные методы и подозрительную активность.
  • Блокируйте обновления и ответы сервисов, в которых обнаружены признаки злонамеренного намерения, до того как они достигнут конечных пользователей.
  • Проверяйте расширения на наличие жестко закодированных ключей, сторонних RPC-узлов и механик, позволяющих серверу изменять логику без обновлений клиента.

Соответствие MITRE ATT&CK

Инцидент коррелирует с несколькими техниками и тактиками из MITRE ATT&CK framework, в частности:

  • Компрометация цепочки поставок (Supply Chain Compromise) — вредоносное расширение распространяется как легитимный инструмент.
  • Расширения браузера и выполнение JavaScript — механизм внедрения вредоносной логики в клиентскую среду.
  • Запутывание информации (Obfuscation) и кража денежных средств (Exfiltration / Theft) — скрытые переводы через добавленные инструкции.

Вывод

Случай с Crypto Copilot демонстрирует, насколько тонкими и опасными могут быть атаки на уровне клиента в криптовалютных экосистемах. Критически важно, чтобы пользователи и команды безопасности применяли превентивные меры: проверяли транзакции, устанавливали расширения только из проверенных источников и использовали инструменты для динамического анализа поведения расширений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Crypto Copilot в Chrome крадет SOL через скрытые комиссии Raydium".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Экономика
10,02 млн интересуются