Расширение для Chrome внедряет код, который позволяет красть пароли криптовалютных кошельков

Глава безопасности платформы MyCrypto Гарри Дэнли сообщил, что расширение для Google Chrome под названием Shitcoin Wallet внедряет в веб-страницы JavaScript-код, позволяющий воровать пароли и закрытые ключи от криптовалютных кошельков и сервисов.

Разработка Shitcoin Wallet же утверждает, что оно дает возможность управлять цифровой валютой Ether (ETH и токенами Ethereum ERC20 прямо из браузера.

Аддон Shitcoin Wallet появился 9 декабря. Расширение получило идентификатор ckkgmccefffnbbalkmbbgebbojjogffn.

По словам Дэнли, расширение представляет опасность, так как все доверенные ему средства могут быть украдены, при этом в посещаемые веб-страницы внедряется код JavaScript, а закрытые ключи всех кошельков отправляются на сторонний ресурс по адресу erc20wallet[.]tk.

️ A browser crypto wallet is injecting malicious JS to steal secrets from @myetherwallet ^[1] @idexio ^[2] @binance ^[3] @neotrackerio ^[4] @SwitcheoNetwork ^[5]

Extension-native wallet create also sends secrets to their backend!

Bad guys: erc20wallet[.]tk
ExtensionID: ckkgmccefffnbbalkmbbgebbojjogffn pic.twitter.com/TE2iw5d8Md ^[6]

— harrydenley.eth ◊ (@sniko_) December 31, 2019 ^[7]

Когда пользователь посещает сайты известных сервисов для управления криптовалютой, код ворует его учетные данные и закрытые ключи и также передает их стороннему ресурсу.

Согласно анализу вредоносного кода, процесс идет следующим образом:

пользователи устанавливают расширение Chrome;

расширение запрашивает разрешение на внедрение кода JavaScript (JS) на 77 веб-сайтах;
когда пользователи переходят на любой из этих 77 сайтов, расширение загружает и добавляет дополнительный JS-файл из: https: // erc20wallet [.] Tk / js / content_.js, этот JS-файл содержит запутанный код;

код активируется на пяти веб-сайтах: MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io и Switcheo.exchange;

после активации вредоносный код JS записывает учетные данные пользователя для входа в систему, ищет закрытые ключи, хранящиеся на панелях управления пяти служб, и, наконец, отправляет данные в erc20wallet [.]tk.

См. также: «Блокчейн для самых маленьких ^[8]»

Пока команда Shitcoin Wallet не ответила на запрос СМИ ^[9], и остается неясным, виновата ли разработка, либо расширение используют злоумышленники со стороны.

См. также: «Криптовалюта. ICO, IEO, STO. Майнинг. Блокчейн: регулирование в России. Полная история: 2014-2019 годов ^[10]»

Автор: maybe_elf

Источник ^[11]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/javascript/341963

Ссылки в тексте:

[1] @myetherwallet: https://twitter.com/myetherwallet?ref_src=twsrc%5Etfw

[2] @idexio: https://twitter.com/idexio?ref_src=twsrc%5Etfw

[3] @binance: https://twitter.com/binance?ref_src=twsrc%5Etfw

[4] @neotrackerio: https://twitter.com/neotrackerio?ref_src=twsrc%5Etfw

[5] @SwitcheoNetwork: https://twitter.com/SwitcheoNetwork?ref_src=twsrc%5Etfw

[6] pic.twitter.com/TE2iw5d8Md: https://t.co/TE2iw5d8Md

[7] December 31, 2019: https://twitter.com/sniko_/status/1211841389299982336?ref_src=twsrc%5Etfw

[8] Блокчейн для самых маленьких: https://habr.com/ru/post/480220/

[9] не ответила на запрос СМИ: https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/

[10] Криптовалюта. ICO, IEO, STO. Майнинг. Блокчейн: регулирование в России. Полная история: 2014-2019 годов: https://habr.com/ru/post/478462/

[11] Источник: https://habr.com/ru/post/482746/?utm_campaign=482746&utm_source=habrahabr&utm_medium=rss

Нажмите здесь для печати.