Výzkumníci v oblasti kybernetické bezpečnosti odhalili škodlivé rozšíření pro Chrome, které se vydává za legitimní peněženku Ethereum, ale obsahuje funkce pro odcizení seed frází uživatelů.
Rozšíření nese název „Safery: Ethereum Wallet“, přičemž útočník jej popisuje jako „bezpečnou peněženku pro správu kryptoměny Ethereum s flexibilním nastavením“. Do obchodu Chrome Web Store bylo nahráno 29. září 2025 a naposledy bylo aktualizováno 12. listopadu. V době psaní tohoto článku je stále dostupné ke stažení.
„Prezentováno jako jednoduchá, bezpečná peněženka pro Ethereum (ETH), obsahuje zadní vrátka, která odcizují seed fráze jejich zakódováním do adres Sui a vysíláním mikrotransakcí z peněženky Sui kontrolované útočníkem,“ uvedl bezpečnostní výzkumník společnosti Socket Kirill Boychenko.
Konkrétně je malware přítomný v doplňku prohlížeče navržen tak, aby kradl mnemonické fráze peněženek jejich zakódováním jako falešné adresy peněženek Sui a následným použitím mikrotransakcí k odeslání 0,000001 SUI na tyto peněženky z napevno zakódované peněženky kontrolované útočníkem.
Konečným cílem malwaru je propašovat seed frázi uvnitř normálně vypadajících blockchainových transakcí bez nutnosti nastavovat command-and-control (C2) server pro příjem informací. Jakmile jsou transakce dokončeny, útočník může dekódovat adresy příjemců, rekonstruovat původní seed frázi a nakonec vyprázdnit z ní aktiva.
„Toto rozšíření krade seed fráze peněženek jejich zakódováním jako falešné adresy Sui a odesíláním mikrotransakcí na ně z peněženky kontrolované útočníkem, což útočníkovi umožňuje monitorovat blockchain, dekódovat adresy zpět na seed fráze a vyprázdnit prostředky obětí,“ uvádí společnost Koi Security ve své analýze.
Pro snížení rizika představovaného touto hrozbou se uživatelům doporučuje držet se důvěryhodných rozšíření peněženek. Obráncům se doporučuje skenovat rozšíření na mnemonické kodéry, generátory syntetických adres a napevno zakódované seed fráze, stejně jako blokovat ta, která zapisují do blockchainu během importu nebo vytváření peněženky.
„Tato technika umožňuje útočníkům přepínat blockchainy a RPC koncové body s minimálním úsilím, takže detekce, které se spoléhají na domény, URL nebo konkrétní ID rozšíření, ji přehlédnou,“ řekl Boychenko. „Považujte neočekávané blockchainové RPC volání z prohlížeče za vysoce signifikantní, zejména když produkt tvrdí, že je určen pro jeden blockchain.“
Zdroj: thehackernews.com
