В магазине расширений Chrome Web Store было обнаружено вредоносное расширение под названием "Safery: Ethereum Wallet". Оно позиционировалось как «безопасный кошелек для управления криптовалютой Ethereum с гибкими настройками», однако его истинной целью является кража мнемонических фраз (seed phrases) пользователей. Расширение было загружено в магазин 29 сентября 2025 года, последний раз обновлялось 12 ноября и на момент анализа оставалось доступным для скачивания.
Механизм атаки начинается, когда пользователь устанавливает расширение и приступает к созданию нового кошелька или импорту существующего. В этот момент вредоносный код, встроенный в "Safery", перехватывает и сохраняет секретную фразу из 12 или 24 слов, которая является главным ключом к доступу ко всем активам.
Ключевая особенность этой атаки заключается в использовании бессерверного метода для вывода украденных данных. Вместо того чтобы отправлять сид-фразу на традиционный командно-контрольный сервер (C2), который легко отследить и заблокировать, злоумышленники применяют саму технологию блокчейн для передачи информации.
Украденная мнемоническая фраза кодируется в серию поддельных адресов кошельков в сети блокчейна Sui. Это совершенно другая сеть, не связанная с Ethereum, для которого предназначено расширение. Преобразование секретных слов в адреса позволяет замаскировать конфиденциальные данные под видом обычной блокчейн-активности.
Далее злоумышленники используют заранее запрограммированный в расширении кошелек Sui, который принадлежит им. С этого кошелька инициируется серия микротранзакций, каждая на сумму 0.000001 SUI. Получателями этих транзакций выступают те самые сгенерированные поддельные адреса, которые содержат в себе закодированную сид-фразу жертвы.
Атакующим не требуется получать эти средства. Им достаточно отслеживать публичный реестр транзакций в сети Sui. Они видят исходящие транзакции со своего контрольного кошелька и просто считывают адреса получателей. Декодировав эти адреса, они восстанавливают исходную мнемоническую фразу пользователя и получают полный контроль над его Ethereum-кошельком для вывода всех средств.
Такой подход позволяет злоумышленникам «менять сети и RPC-эндпоинты с минимальными усилиями», что делает стандартные методы обнаружения, основанные на блокировке конкретных доменов, URL-адресов или идентификаторов расширений, практически бесполезными. Исследователь безопасности Кирилл Бойченко из компании Socket и эксперты из Koi Security, которые провели независимый анализ, подтвердили эту схему.
Для систем безопасности ключевым индикатором подобной угрозы является аномальное поведение расширения. Когда плагин, заявленный как инструмент для одной сети (например, Ethereum), начинает выполнять неожиданные вызовы удаленных процедур (RPC) к другой сети (например, Sui), это следует рассматривать как сигнал высокой степени риска.
Для защиты пользователям рекомендуется использовать только хорошо известные, проверенные кошельки от официальных разработчиков и с осторожностью относиться к новым или малоизвестным расширениям, даже если они доступны в официальных магазинах.
Специалистам по кибербезопасности следует сканировать браузерные расширения на наличие специфических компонентов: встроенных кодировщиков мнемонических фраз, генераторов синтетических адресов и жестко закодированных сид-фраз, которые могут принадлежать кошельку злоумышленников.
Наиболее эффективной мерой является поведенческая блокировка. Необходимо внедрять системы, которые автоматически блокируют любое расширение, пытающееся выполнить операции записи в любом блокчейне в процессе создания или импорта кошелька. Такая активность является нетипичной для легитимного программного обеспечения и с высокой вероятностью указывает на попытку кражи данных.
Изображение носит иллюстративный характер
Механизм атаки начинается, когда пользователь устанавливает расширение и приступает к созданию нового кошелька или импорту существующего. В этот момент вредоносный код, встроенный в "Safery", перехватывает и сохраняет секретную фразу из 12 или 24 слов, которая является главным ключом к доступу ко всем активам.
Ключевая особенность этой атаки заключается в использовании бессерверного метода для вывода украденных данных. Вместо того чтобы отправлять сид-фразу на традиционный командно-контрольный сервер (C2), который легко отследить и заблокировать, злоумышленники применяют саму технологию блокчейн для передачи информации.
Украденная мнемоническая фраза кодируется в серию поддельных адресов кошельков в сети блокчейна Sui. Это совершенно другая сеть, не связанная с Ethereum, для которого предназначено расширение. Преобразование секретных слов в адреса позволяет замаскировать конфиденциальные данные под видом обычной блокчейн-активности.
Далее злоумышленники используют заранее запрограммированный в расширении кошелек Sui, который принадлежит им. С этого кошелька инициируется серия микротранзакций, каждая на сумму 0.000001 SUI. Получателями этих транзакций выступают те самые сгенерированные поддельные адреса, которые содержат в себе закодированную сид-фразу жертвы.
Атакующим не требуется получать эти средства. Им достаточно отслеживать публичный реестр транзакций в сети Sui. Они видят исходящие транзакции со своего контрольного кошелька и просто считывают адреса получателей. Декодировав эти адреса, они восстанавливают исходную мнемоническую фразу пользователя и получают полный контроль над его Ethereum-кошельком для вывода всех средств.
Такой подход позволяет злоумышленникам «менять сети и RPC-эндпоинты с минимальными усилиями», что делает стандартные методы обнаружения, основанные на блокировке конкретных доменов, URL-адресов или идентификаторов расширений, практически бесполезными. Исследователь безопасности Кирилл Бойченко из компании Socket и эксперты из Koi Security, которые провели независимый анализ, подтвердили эту схему.
Для систем безопасности ключевым индикатором подобной угрозы является аномальное поведение расширения. Когда плагин, заявленный как инструмент для одной сети (например, Ethereum), начинает выполнять неожиданные вызовы удаленных процедур (RPC) к другой сети (например, Sui), это следует рассматривать как сигнал высокой степени риска.
Для защиты пользователям рекомендуется использовать только хорошо известные, проверенные кошельки от официальных разработчиков и с осторожностью относиться к новым или малоизвестным расширениям, даже если они доступны в официальных магазинах.
Специалистам по кибербезопасности следует сканировать браузерные расширения на наличие специфических компонентов: встроенных кодировщиков мнемонических фраз, генераторов синтетических адресов и жестко закодированных сид-фраз, которые могут принадлежать кошельку злоумышленников.
Наиболее эффективной мерой является поведенческая блокировка. Необходимо внедрять системы, которые автоматически блокируют любое расширение, пытающееся выполнить операции записи в любом блокчейне в процессе создания или импорта кошелька. Такая активность является нетипичной для легитимного программного обеспечения и с высокой вероятностью указывает на попытку кражи данных.
