Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Crypto Copilot: вредоносное расширение Chrome крадёт SOL через Raydium

3 мин
Недавнее исследование компании Socket обнаружило опасную технику компрометации пользователей Solana: расширение для Chrome под названием Crypto Copilot маскировалось под удобный инструмент для работы с данными из Twitter, но на самом деле внедряло скрытые переводы SOL в момент подписания свопов на Raydium. По данным Socket, расширение заявляло о помощи в обмене активов, но не уведомляло пользователей о дополнительных сборах или скрытых переводах. Механика была следующая: «Crypto Copilot маскируется под инструмент, предназначенный для удобства, утверждая, что он облегчает обмен данными непосредственно из Twitter, однако скрывает свои вредоносные действия» — вывод Socket. Несколько деталей архитектуры расширения усиливают угрозу: Эксперты по безопасности рекомендуют соблюдать повышенную осторожность при работе с расширениями и при подписании транзакций в кошельках Solana: Для корпоративных команд и провайдеров безопасности важны превентивные меры: Инцидент согласуется с техниками, описан
Оглавление

Недавнее исследование компании Socket обнаружило опасную технику компрометации пользователей Solana: расширение для Chrome под названием Crypto Copilot маскировалось под удобный инструмент для работы с данными из Twitter, но на самом деле внедряло скрытые переводы SOL в момент подписания свопов на Raydium.

Суть атаки

По данным Socket, расширение заявляло о помощи в обмене активов, но не уведомляло пользователей о дополнительных сборах или скрытых переводах. Механика была следующая:

  • Расширение формировало инструкции свопа для Raydium на стороне клиента.
  • После сборки транзакции вычислялась жестко закодированная «плата платформы», которая добавлялась в виде отдельной инструкции SystemProgram.transfer.
  • Пользователь подписывал транзакцию, полагая, что совершает легитимную операцию, а злоумышленник получал нераскрытую комиссию на свой кошелек.
«Crypto Copilot маскируется под инструмент, предназначенный для удобства, утверждая, что он облегчает обмен данными непосредственно из Twitter, однако скрывает свои вредоносные действия» — вывод Socket.

Почему это особенно опасно

Несколько деталей архитектуры расширения усиливают угрозу:

  • В коде найден жестко закодированный API-ключ Helius и ссылки на несколько узлов RPC, что облегчает контроль и наблюдение за действиями пользователей.
  • Хотя свопы создавались на стороне клиента, дизайн позволял оператору собирать значительную информацию о кошельках — подключенных аккаунтах и торговом поведении.
  • Наличие централизованного серверного интерфейса означало, что злоумышленник мог менять логику или ответы сервиса без обновления расширения в магазине, расширяя возможности для последующих атак.

Рекомендации для пользователей

Эксперты по безопасности рекомендуют соблюдать повышенную осторожность при работе с расширениями и при подписании транзакций в кошельках Solana:

  • Тщательно проверяйте инструкцию транзакции перед подписью — особенно на предмет неожиданных инструкций SystemProgram.transfer.
  • Избегайте использования закрытых (closed-source) торговых расширений, запрашивающих права на подпись транзакций.
  • Удалите потенциально скомпрометированные расширения (например, Crypto Copilot) и сразу перенесите активы на «чистые» независимые кошельки, которые не подключены к браузерным расширениям.
  • Устанавливайте расширения кошельков только со страниц проверенных издателей, а не с произвольных результатов поиска в Chrome Web Store.

Рекомендации для команд безопасности

Для корпоративных команд и провайдеров безопасности важны превентивные меры:

  • Используйте инструменты для анализа поведения расширений и потоков данных — это помогает выявлять манипулятивные методы формирования транзакций.
  • Блокируйте обновления и ответы сервисов, которые демонстрируют признаки злонамеренного вмешательства, до того как они затронут конечных пользователей.
  • Включите проверку на наличие жестко закодированных ключей API и подозрительных конфигураций RPC в процессе аудита расширений.

Контекст в терминах угроз

Инцидент согласуется с техниками, описанными в MITRE ATT&CK framework, включая:

  • Компрометацию цепочки поставок (supply chain compromise).
  • Злоупотребление расширениями браузера и исполнением JavaScript.
  • Использование запутанных или скрытых инструкций и непосредственная кража средств.

Вывод

Случай с Crypto Copilot — типичный пример того, как злоумышленники эксплуатируют доверие к удобным инструментам и браузерным расширениям для кражи средств. Главное правило для пользователей Solana и других блокчейн-сервисов — внимательно проверять состав транзакций и ограничивать права расширений. Для организаций — усилить мониторинг и анализ расширений, чтобы своевременно выявлять и нейтрализовать такие угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Crypto Copilot: вредоносное расширение Chrome крадёт SOL через Raydium".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.