Вредоносное расширение Chrome тайно взимало комиссии с трейдеров Solana

Введение

Расширение для Chrome под названием Crypto Copilot, рекламируемое как удобный инструмент для торговли, тайно взимало комиссии с пользователей, добавляя скрытые транзакции к каждой сделке на платформе Raydium.

Обнаружение угрозы

Компания по кибербезопасности Socket обнаружила это вредоносное расширение в ходе постоянного мониторинга Chrome Web Store. Как сообщил инженер по безопасности и исследователь Куш Пандья, Crypto Copilot добавляет скрытую инструкцию на перевод SOL при каждой сделке, направляя средства на кошелек злоумышленника.

• Минимальная комиссия составляет 0.0013 SOL или 0.05% от суммы сделки.
• Код расширения сильно запутан и содержит жестко закодированный адрес Solana.
• Расширение остается доступным в Chrome Web Store без предупреждений для пользователей.

Механизм работы

Каждый раз, когда пользователь совершает обмен токенов, расширение генерирует правильную инструкцию для Raydium, но добавляет скрытую транзакцию, направляющую SOL на адрес злоумышленника. Эта комиссия не отображается в интерфейсе расширения или в описании на Chrome Web Store.

Риски и рекомендации

Socket подала запрос на удаление расширения из Chrome Web Store. Пользователям рекомендуется проверять каждую инструкцию перед подписанием транзакций и избегать использования закрытых торговых расширений, требующих разрешений на подпись.

Контекст

Вредоносные программы продолжают оставаться серьезной угрозой для пользователей криптовалют. В сентябре был обнаружен ModStealer, нацеленный на криптокошельки через поддельные объявления о вакансиях. Главный технический директор Ledger Чарльз Гийом ранее предупреждал о компрометации аккаунта разработчика NPM, что позволяло злоумышленникам подменять адреса криптокошельков.