最近,有一款谷歌浏览器扩展程序被发现在网页中注入恶意JavaScript代码。这段代码使得该扩展程序能够窃取用户的比特币钱包和加密货币门户的各种密码和私钥。
这款扩展程序的名字相当不雅,被称为”Shitcoin Wallet”,扩展程序ID为”ckkgmccefffnbbalkmbbgebbojjogffn”。该扩展程序于去年12月9日推出。
在该扩展程序的介绍博客文章中,该团队将Shitcoin Wallet描述为一款可以让用户购买以太坊并进行适当管理的钱包。此外,Shitcoin Wallet还支持基于ERC20的代币,这种代币通常通过首次代币发行(ICO)分发。
如果这个谷歌浏览器扩展程序只是无害的话,它会起到一个重要的作用。用户可以安装该扩展程序并在自己的浏览器中管理以太坊及其ERC-20代币。此外,如果用户希望在浏览器的高风险环境之外管理他们的资金,他们还可以安装一个Windows桌面应用程序。
然而,随后情况开始变得糟糕,哈里·丹利成为了事情的起因。丹利是MyCrypto平台的安全主管,他发现该扩展程序内部存在恶意代码。似乎没有什么事情可以只为了整个人类的利益而存在。
丹利解释说,该扩展程序存在两个重大危险。首先,任何在扩展程序内直接管理的资金都处于风险之中。这是因为该扩展程序会将其界面内管理或创建的任何钱包的私钥发送给位于”erc20wallet[.]tk”地址的第三方网站。
第二个关键问题是,当用户访问五个知名的加密货币管理平台时,该扩展程序会主动注入JavaScript代码。通过注入恶意代码,该扩展程序窃取这些平台的私钥和登录详细信息,并将其发送到同一第三方网站。
对代码进行详细分析后发现,整个过程分为多个步骤。首先,用户安装扩展程序,然后该扩展程序请求在77个网站上注入更多的JavaScript代码的权限。当用户访问这77个网站之一时,该扩展程序会加载并注入来自”https://erc20wallet[.]tk/js/content_.js”的另一个JavaScript文件。此文件包含混淆的代码,在以下五个网站上激活:
MyEtherWallet.com、
Idex.Market、
Binance.org、
NeoTracker.io和
Switcheo.exchange。然后,该代码记录用户创建的私钥和登录信息,并将其发送到第三方网站。
请加入我们的Telegram频道,获取最新的新闻报道。
Chinese (Hong Kong) 
Chinese (China) 
English 