最近,有一款Google Chrome扩展程序被发现在网页上注入恶意JavaScript代码。这段代码允许该扩展程序从互联网用户的比特币钱包和加密货币门户中窃取各种密码和私钥。
这款扩展程序名为Shitcoin Wallet,拥有扩展ID为ckkgmccefffnbbalkmbbgebbojjogffn。该扩展程序于2019年12月9日上线。
在推出这款扩展程序的介绍性博文中,该团队将Shitcoin Wallet描述为一款允许用户购买和管理以太坊币的钱包。除此之外,Shitcoin Wallet还支持基于ERC20的代币,这种代币通常通过首次代币发行(ICO)方式发放。
如果这款Chrome扩展程序只是无害的话,它将具备实用的功能。用户可以安装该扩展程序在自己的网络浏览器内管理ETH和ERC-20代币。此外,用户还可以安装Windows桌面应用程序,以便在浏览器以外的较高风险环境下管理资金。
然而,事情在Harry Denley的介入下开始出现问题。Denley是MyCrypto平台的安全主管,他发现该扩展程序内部包含恶意代码。看来,没有什么可以纯粹为了全人类的利益而存在。
Denley解释称,该扩展程序存在两个重大问题。首先,扩展程序直接管理的任何形式的资金都处于风险之中。这是因为该扩展程序将其界面内管理或创建的所有钱包的私钥发送到一个位于erc20wallet[.]tk地址的第三方网站上。
第二个关键问题是,当用户访问五个知名的加密货币管理平台时,扩展程序会主动注入JavaScript代码。恶意代码将窃取这些平台的私钥和登录详细信息,并将其发送到同一个第三方网站。
对代码的详细分析显示了整个过程。首先,用户安装该扩展程序,然后请求在77个网站上注入更多的JavaScript代码的权限。当用户访问这77个网站之一时,扩展程序会加载并注入来自https://erc20wallet[.]tk/js/content_.js的另一个JavaScript文件。该文件包含混淆的代码,会在以下五个网站上激活:
MyEtherWallet.com、Idex.Market、Binance.org、NeoTracker.io和Switcheo.exchange。随后,该代码记录用户创建的私钥和登录信息,并将其发送到第三方网站。
加入我们的Telegram频道,及时了解最新的新闻报道。
Chinese 