Μια νέα κακόβουλη επέκταση Chrome, γνωστή ως Crypto Copilot, έχει εντοπιστεί να κλέβει κεφάλαια από τους εμπόρους Solana, αποσπώντας ήσυχα ένα ποσοστό 0.05% από κάθε συναλλαγή που εκτελούν. Σύμφωνα με την ομάδα Threat Research της Socket, η επέκταση είναι διαθέσιμη στο Chrome Web Store από τον Ιούνιο του 2024 και διαφημίζεται ως μια συντόμευση για την εκτέλεση συναλλαγών Solana απευθείας από τις ροές X των χρηστών.

Ωστόσο, πίσω από την επιφάνεια, οι ερευνητές ανακάλυψαν κώδικα που έχει σχεδιαστεί για να προσθέτει μια επιπλέον μεταφορά σε κάθε συναλλαγή Raydium, αποσπώντας τουλάχιστον 0.0013 $SOL, ή 0.05% της κάθε συναλλαγής, σε ένα πορτοφόλι που ελέγχεται από τον επιτιθέμενο. Οι χρήστες βλέπουν μόνο τη νόμιμη συναλλαγή στην επιφάνεια εργασίας, και τα περισσότερα παράθυρα επιβεβαίωσης πορτοφολιού εμφανίζουν μόνο μια γενική σύνοψη της συναλλαγής, αντί για τη πλήρη λίστα των εντολών.

Η λογική της χρέωσης είναι πλήρως ενσωματωμένη στην επέκταση και κρυμμένη κάτω από στρώματα obfuscated JavaScript. Η Socket σημειώνει ότι η επέκταση εφαρμόζει όποιο είναι μεγαλύτερο μεταξύ της ελάχιστης χρέωσης και της ποσοστιαίας χρέωσης, πράγμα που σημαίνει ότι οι συναλλαγές άνω των 2.6 $SOL επιβαρύνονται με την πλήρη αφαίρεση του 0.05%. Οι ερευνητές διαπίστωσαν ότι η επέκταση χρησιμοποιεί μετανομασία μεταβλητών και επιθετική ελαχιστοποίηση για να αποκρύψει τη συμπεριφορά της, και το πορτοφόλι του επιτιθέμενου είναι επισημασμένο με μια αθώα μεταβλητή βαθιά μέσα στο πακέτο.

Η επέκταση παραμένει διαθέσιμη τη στιγμή της αναφοράς. Η Socket έχει υποβάλει αίτημα για την αφαίρεσή της στην Google, αλλά δεν έχει λάβει επιβεβαίωση ότι έχει ληφθεί δράση. Εκτός από την κλοπή χρεώσεων, οι ερευνητές ανακάλυψαν ότι το Crypto Copilot συνδέεται με ένα backend που φιλοξενείται στο crypto-coplilot-dashboard.vercel.app, μια κακώς γραμμένη διεύθυνση που εμφανίζει μόνο μια κενή σελίδα.

Παρά την κενή ιστοσελίδα, η επέκταση στέλνει τακτικά ταυτοποιήσεις πορτοφολιού και δεδομένα δραστηριότητας σε αυτό το backend, χρησιμοποιώντας επίσης ένα σκληρά κωδικοποιημένο API key Helius για προσομοίωση συναλλαγών και κλήσεις RPC. Μια ξεχωριστή διεύθυνση που σχετίζεται με το εργαλείο, cryptocopilot.app, είναι αυτή τη στιγμή παρκαρισμένη. Οι ερευνητές σημειώνουν ότι η απουσία τεκμηρίωσης, λειτουργικού πίνακα ελέγχου ή οποιασδήποτε υποστηρικτικής υποδομής είναι ασυμβίβαστη με ένα νόμιμο προϊόν συναλλαγών και αντ' αυτού αντικατοπτρίζει κοινές πρακτικές που παρατηρούνται σε κακόβουλες επεκτάσεις προγράμματος περιήγησης.

Η ανακάλυψη αυτή έρχεται σε μια περίοδο αυξημένης προσοχής γύρω από τις απειλές κρυπτονομισμάτων που σχετίζονται με προγράμματα περιήγησης. Τον Ιούλιο, περισσότερες από 40 κακόβουλες επεκτάσεις Firefox βρέθηκαν να προσποιούνται τους κύριους παρόχους πορτοφολιών, συμπεριλαμβανομένων των MetaMask, Coinbase, Phantom, OKX και Trust Wallet. Οι επεκτάσεις αυτές συνέλεξαν διαπιστευτήρια πορτοφολιού απευθείας από τους περιηγητές των χρηστών και τα μετέφεραν σε διακομιστές που ελέγχονται από επιτιθέμενους.

Αν και οι απώλειες κρυπτονομισμάτων έχουν μειωθεί, οι επιθέσεις μέσω επεκτάσεων συνεχίζουν να αυξάνονται. Σύμφωνα με την CertiK, οι παραβιάσεις που σχετίζονται με πορτοφόλια ανήλθαν σε 1.7 δισεκατομμύρια δολάρια από τα 2.2 δισεκατομμύρια δολάρια που κλάπηκαν κατά το πρώτο εξάμηνο του έτους. Παρά την αύξηση των απειλών που σχετίζονται με επεκτάσεις, ο ευρύτερος τομέας κρυπτονομισμάτων παρουσίασε μια προσωρινή πτώση στις επιτυχείς επιθέσεις.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: