一個(gè)Google Chrome擴(kuò)展程序被發(fā)現(xiàn)在網(wǎng)頁(yè)上注入了JavaScript代碼，以從加密貨幣錢(qián)包和加密貨幣門(mén)戶網(wǎng)站竊取密碼和私鑰。

該擴(kuò)展名為Shitcoin Wallet(Chrome擴(kuò)展 ID：ckkgmccefffnbbalkmbbgebbojjogffn)，于12月9日啟動(dòng)。

據(jù)介紹，Shitcoin Wallet允許用戶管理以太(ETH)幣，也可以管理基于以太坊ERC20的代幣-通常為ICO發(fā)行的代幣(初始代幣發(fā)行)。用戶可以從瀏覽器中安裝Chrome擴(kuò)展程序并管理ETHcoins和ERC20 tokens;同時(shí)，如果用戶想從瀏覽器的高風(fēng)險(xiǎn)環(huán)境之外管理資金，則可以安裝Windows桌面應(yīng)用。

然而，MyCrypto平臺(tái)的安全總監(jiān)Harry Denley則在近日發(fā)現(xiàn)了該擴(kuò)展程序包含惡意代碼。

根據(jù)Denley的說(shuō)法，對(duì)用戶而言，該擴(kuò)展存在有兩種風(fēng)險(xiǎn)。首先，直接在擴(kuò)展內(nèi)管理的任何資金(ETHcoins和基于ERC0的代幣)都處于風(fēng)險(xiǎn)中。Denley表示，該擴(kuò)展會(huì)將通過(guò)其接口創(chuàng)建或管理的所有錢(qián)包的私鑰發(fā)送到位于erc20wallet[.]tk的第三方網(wǎng)站。

其次，當(dāng)用戶導(dǎo)航到五個(gè)著名和流行的加密貨幣管理平臺(tái)時(shí)，該擴(kuò)展還可以主動(dòng)注入惡意JavaScript代碼。此代碼將竊取登錄憑據(jù)和私鑰，將數(shù)據(jù)發(fā)送到同一erc20wallet[.]tk第三方網(wǎng)站。

根據(jù)對(duì)惡意代碼的分析，該過(guò)程如下：

用戶安裝Chrome擴(kuò)展程序

Chrome擴(kuò)展程序請(qǐng)求在77個(gè)網(wǎng)站上注入JavaScript(JS)代碼的權(quán)限[listedhere]

當(dāng)用戶導(dǎo)航到這77個(gè)站點(diǎn)中的任何一個(gè)時(shí)，擴(kuò)展程序都會(huì)從以下位置加載并注入一個(gè)附加的JS文件：https://erc20wallet[.]tk/js/content_.js此

JS文件包含混淆的代碼[deobfuscatedhere]

該代碼在五個(gè)網(wǎng)站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和Switcheo.exchange

一旦激活，惡意JS代碼就會(huì)記錄用戶的登錄憑據(jù)，搜索存儲(chǔ)在五個(gè)服務(wù)的dashboards中的私鑰，最后將數(shù)據(jù)發(fā)送到erc20wallet[.]tk

目前尚不清楚Shitcoin Wallet團(tuán)隊(duì)是否應(yīng)對(duì)惡意代碼負(fù)責(zé)，或者Chrome擴(kuò)展是否受到第三方的破壞。

關(guān)鍵詞：