Исследователи кибербезопасности из компании Socket обнаружили вредоносное расширение для браузера Google Chrome, способное скрытно похищать криптовалютные активы. Атака нацелена на пользователей блокчейна Solana, а именно на тех, кто взаимодействует с децентрализованной биржей (DEX) и автоматическим маркет-мейкером (AMM) Raydium. Вредоносное ПО функционирует путем внедрения скрытых инструкций по переводу средств непосредственно в легитимные транзакции обмена криптовалют, перенаправляя деньги на кошелек, контролируемый злоумышленником.
Программа носит название Crypto Copilot. В качестве издателя указан пользователь под ником "sjclark76", а датой публикации значится 7 мая 2024 года. Несмотря на выявленную угрозу, на момент публикации отчета расширение все еще было доступно для загрузки и насчитывало 12 установок. В описании заявлен функционал, позволяющий «торговать криптовалютой непосредственно в X [ранее Twitter] с аналитикой в реальном времени и бесперебойным исполнением». Для создания видимости легитимности и надежности софт использует интеграцию с такими известными сервисами, как DexScreener и Helius RPC.
В коде расширения скрыт жестко прописанный адрес кошелька, предназначенный для сбора украденных средств. Механизм хищения имеет четкую логику тарификации: со стандартных сделок взимается фиксированная плата минимум 0,0013 SOL. Если же сумма операции превышает 2,6 SOL (сделки высокой стоимости), скрипт автоматически удерживает 0,05% от общего объема обмена.
Техническая реализация кражи происходит в момент, когда пользователь инициирует Raydium swap. Расширение незаметно добавляет к транзакции служебный метод
Чтобы избежать обнаружения системами безопасности и аналитиками, разработчики применили минификацию кода и переименование переменных. Расширение активно взаимодействует с бэкендом для регистрации подключенных кошельков, получения реферальных данных и отправки отчетов об активности жертв. Специалистами были идентифицированы конкретные вредоносные домены:
Об обнаружении угрозы во вторник сообщил ведущий исследователь компании Socket Куш Пандья (Kush Pandya). Согласно его анализу, инфраструктура атаки была специально спроектирована таким образом, чтобы пройти проверку Chrome Web Store, сохраняя при этом видимость законного инструмента. Системы модерации магазина не смогли распознать вредоносную нагрузку из-за качественной обфускации кода.
Куш Пандья отметил, что скрытый перевод осуществляется на личный кошелек, а не в казну протокола, что является прямым доказательством кражи. По словам эксперта, большинство пользователей не способны заметить подмену, если они вручную не проверяют каждую инструкцию в коде транзакции перед ее подписанием. На данный момент угроза остается актуальной для всех, кто установил данное программное обеспечение.
Изображение носит иллюстративный характер
Программа носит название Crypto Copilot. В качестве издателя указан пользователь под ником "sjclark76", а датой публикации значится 7 мая 2024 года. Несмотря на выявленную угрозу, на момент публикации отчета расширение все еще было доступно для загрузки и насчитывало 12 установок. В описании заявлен функционал, позволяющий «торговать криптовалютой непосредственно в X [ранее Twitter] с аналитикой в реальном времени и бесперебойным исполнением». Для создания видимости легитимности и надежности софт использует интеграцию с такими известными сервисами, как DexScreener и Helius RPC.
В коде расширения скрыт жестко прописанный адрес кошелька, предназначенный для сбора украденных средств. Механизм хищения имеет четкую логику тарификации: со стандартных сделок взимается фиксированная плата минимум 0,0013 SOL. Если же сумма операции превышает 2,6 SOL (сделки высокой стоимости), скрипт автоматически удерживает 0,05% от общего объема обмена.
Техническая реализация кражи происходит в момент, когда пользователь инициирует Raydium swap. Расширение незаметно добавляет к транзакции служебный метод
SystemProgram.transfer. Это вмешательство осуществляется до того, как пользователю предлагается подписать транзакцию. Поскольку пользовательский интерфейс отображает только детали самого обмена, жертва остается в полном неведении относительно наличия дополнительной комиссии, которая уходит на сторонний адрес. Чтобы избежать обнаружения системами безопасности и аналитиками, разработчики применили минификацию кода и переименование переменных. Расширение активно взаимодействует с бэкендом для регистрации подключенных кошельков, получения реферальных данных и отправки отчетов об активности жертв. Специалистами были идентифицированы конкретные вредоносные домены:
crypto-coplilot-dashboard.vercel[.]app, используемый для связи с сервером, и cryptocopilot[.]app, который является веб-доменом, но не содержит реального продукта. Об обнаружении угрозы во вторник сообщил ведущий исследователь компании Socket Куш Пандья (Kush Pandya). Согласно его анализу, инфраструктура атаки была специально спроектирована таким образом, чтобы пройти проверку Chrome Web Store, сохраняя при этом видимость законного инструмента. Системы модерации магазина не смогли распознать вредоносную нагрузку из-за качественной обфускации кода.
Куш Пандья отметил, что скрытый перевод осуществляется на личный кошелек, а не в казну протокола, что является прямым доказательством кражи. По словам эксперта, большинство пользователей не способны заметить подмену, если они вручную не проверяют каждую инструкцию в коде транзакции перед ее подписанием. На данный момент угроза остается актуальной для всех, кто установил данное программное обеспечение.
