page contents

Chrome 扩展程序包含恶意代码,窃取加密钱包私钥

一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。 该扩展名为 Shitcoin Wallet,于 12 月 9 日启动。 据介绍,Shit...

attachments-2020-01-QwEciLJ85e10413b54f6c.png

一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。

该扩展名为 Shitcoin Wallet,于 12 月 9 日启动。

介绍,Shitcoin Wallet 允许用户管理以太(ETH)币,也可以管理基于以太坊 ERC20 的代币-通常为 ICO 发行的代币(初始代币发行)。用户可以从浏览器中安装 Chrome 扩展程序并管理 ETH coins 和 ERC20 tokens;同时,如果用户想从浏览器的高风险环境之外管理资金,则可以安装 Windows桌面应用。

然而,MyCrypto 平台的安全总监 Harry Denley 则在近日发现了该扩展程序包含恶意代码。

根据 Denley 的说法,对用户而言,该扩展存在有两种风险。首先,直接在扩展内管理的任何资金(ETH coins 和基于 ERC0 的代币)都处于风险中。Denley表示,该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于 erc20wallet[.]tk 的第三方网站。

attachments-2020-01-EjBis9oL5e10416f8a3eb.png

其次,当用户导航到五个著名和流行的加密货币管理平台时,该扩展还可以主动注入恶意 JavaScript 代码。此代码将窃取登录凭据和私钥,将数据发送到同一 erc20wallet[.]tk 第三方网站。

根据对恶意代码的分析,该过程如下:

  • 用户安装 Chrome 扩展程序
  • Chrome 扩展程序请求在 77 个网站上注入 JavaScript(JS)代码的权限 [listed here]
  • 当用户导航到这77个站点中的任何一个时,扩展程序都会从以下位置加载并注入一个附加的 JS 文件https://erc20wallet[.]tk/js/content_.js
  • 此 JS 文件包含混淆的代码 [deobfuscated here]
  • 该代码在五个网站上激活:MyEtherWallet.comIdex.MarketBinance.orgNeoTracker.io,和 Switcheo.exchange
  • 一旦激活,恶意 JS 代码就会记录用户的登录凭据,搜索存储在五个服务的 dashboards 中的私钥,最后将数据发送到 erc20wallet[.]tk 

目前尚不清楚 Shitcoin Wallet 团队是否应对恶意代码负责,或者 Chrome 扩展是否受到第三方的破坏。

  • 发表于 2020-01-04 15:40
  • 阅读 ( 460 )

你可能感兴趣的文章

相关问题

0 条评论

请先 登录 后评论
Pack
Pack

1135 篇文章

作家榜 »

  1. 轩辕小不懂 2403 文章
  2. 小柒 1470 文章
  3. Pack 1135 文章
  4. Nen 576 文章
  5. 王昭君 209 文章
  6. 文双 71 文章
  7. 小威 64 文章
  8. Cara 36 文章