2023-05-28 www.dnxtw.com
日前有报道称,一个名字叫“Shitcoin WalletGoogle Chrome扩展程序最近被发现在网页上注入JavaScript代码,从加密货币钱包和加密货币门户网站窃取密码和私钥。扩展的Chrome扩展ID为“ckkgmccefffnbbalkmbbgebbojjogffn”,并于12月9日开始!让我们来看看。
据悉,hitcoin Wallet允许用户管理以太管理(ETH)货币也可以管理基于以太坊ERC20的代币—通常是ICO发行的代币(初始代币发行)。用户可以从浏览器中安装Chrome扩展程序,并管理ETHHE coins 和 ERC20 tokens;同时,如果用户想在浏览器的高风险环境之外管理资金,可以安装Windows桌面应用程序。
然而,MyCrypto平台的安全总监 Harry Denley 最近发现扩展程序包含恶意代码。
根据Denley的说法,对于用户来说,扩展有两个风险。首先,任何直接在扩展内管理的资金(ETH coins 以及基于ERC0的代币)都处于风险之中。Denley表示,扩展将通过其界面创建或管理所有钱包的私钥发送到位 erc20walet[。]tk 第三方网站。
其次,当用户导航到五个著名和流行的加密货币管理平台时,扩展还可以主动注入恶意JavaScript代码。该代码窃取登录凭证和私钥,并将数据发送到相同的位置 erc20walet[。]tk 第三方网站。
根据对恶意代码的分析,过程如下:
●用户安装Chrome扩展程序
●Chrome扩展程序请求在77个网站上注入JavaScriptt(JS)代码的权限[listed here]
●当用户导航到77个站点中的任何一个时,扩展程序将从以下位置加载并注入额外的JS文件:https:///erc20wallet[。]tk/js/content_.js此
●JS文件包含混淆代码[deobfuscated here]
●该代码在五个网站上激活:MyEtherWallet.com,Idex.Market,Binance.org,NeoTracker.io,和 Switcheo.exchange
●一旦激活,恶意JS代码将记录用户的登录凭证,搜索存储在五项服务中的dashboards 中间的私钥,最后将数据发送到 erc20walet[。]tk
至于Shitcoin 目前还不清楚Wallet团队是负责恶意代码还是Chrome扩展是否被第三方破坏!我们将继续关注此事的后续进展。