Вредоносное расширение Chrome крадет часть обменов Solana с помощью скрытых дополнительных переводов

Вредоносное расширение для браузера Google Chrome позволяет пользователям торговать на Solana, при этом тихо снимая комиссию с каждого обмена в кошелек создателя.

Согласно отчету компании по кибербезопасности Socket во вторник, расширение Google Chrome позволяет пользователям торговать на Solana из своей ленты социальных сетей X. В отличие от типичного вредоносного ПО, которое пытается украсть весь баланс, Crypto Copilot «внедряет дополнительный перевод в каждый обмен Solana, откачивая минимум 0,0013 SOL или 0,05% сделки», обнаружил Socket.

На внутренней стороне Crypto Copilot использует децентрализованную биржу Raydium для выполнения обменов для пользователя, но добавляет вторую инструкцию, которая переводит SOL от пользователя к атакующему. Пользовательский интерфейс показывает только детали обмена, в то время как экраны подтверждения кошелька «суммируют транзакцию без отображения отдельных инструкций».

Socket отметил, что подал запрос на удаление расширения в команду безопасности Chrome Web Store. Вредоносное расширение относительно долгоживущее, оно было опубликовано 18 июня 2024 года, но магазин сообщает, что на момент написания у него всего 15 пользователей.

Crypto Copilot позиционирует себя как инструмент удобства, позволяющий трейдерам Solana выполнять обмены прямо из Twitter. Он обещает «позволить вам действовать на торговых возможностях мгновенно без необходимости переключаться между приложениями или платформами».

Массивная пользовательская база Google Chrome и расширяемый дизайн давно сделали его экосистему расширений мишенью для мошенничеств, ориентированных на криптовалюты. В начале этого месяца Socket предупредил, что четвертое по популярности расширение криптокошелька в Chrome Web Store осушало средства пользователей. В конце августа агрегатор децентрализованных бирж Jupiter сообщил, что идентифицировал еще одно вредоносное расширение Chrome, которое опустошало кошельки Solana.

В июне 2024 года китайский трейдер, как сообщается, потерял 1 миллион долларов после установки плагина Chrome под названием Aggr. Это расширение украло файлы cookie браузера для взлома учетных записей, включая доступ к учетной записи трейдера на Binance.