江蘇
關鍵詞
chrome
Chrome Web Store 再次被曝出現惡意擴展長期上架的問題。網絡安全公司 Socket 的研究人員近期指出,一款名為 Safery 的 Chrome 擴展在商店中已存在一年之久,其偽裝成以太坊錢包,卻暗藏能夠竊取用戶加密資產的后門。更令人擔憂的是,在安全團隊提出下架請求數日后,該擴展依舊正常上架,且在搜索“ETH wallet”時排名第四,仍位列可信錢包擴展之間。
Safery 表面上是一個普通的 Ethereum 錢包插件,界面正規、宣傳正常,足以讓用戶產生信任。但其內部隱藏了精心設計的數據外泄機制。擴展會在用戶輸入助記詞后,將這些關鍵的種子詞匯編碼進 Sui 區塊鏈的交易地址,并通過攻擊者控制的錢包發送微額交易,將編碼后的地址廣播到鏈上。看似普通的鏈上操作,實際承擔了泄露助記詞的功能。攻擊者只需對交易接收地址進行逆向解碼,即可還原受害者的錢包助記詞,從而竊取加密資產。助記詞在整個過程中被偽裝在正常的鏈上行為中,幾乎不易被發現。
更具諷刺意味的是,這款惡意擴展即便沒有任何評分,也能穩居搜索結果前列,讓普通用戶更容易誤信。Socket 指出,這種偽裝方式極具迷惑性,許多用戶可能會在毫無警覺的情況下,將自己的助記詞交給一個偽裝成熟的惡意插件。
研究人員提醒,用戶應盡量從可靠的錢包官網或經過驗證的發布者頁面安裝插件,而非直接依賴商店搜索結果。他們建議對錢包類擴展進行深度分析,例如檢查是否存在助記詞編碼器、偽造地址生成器、硬編碼種子、異常簽名邏輯等。一旦擴展在導入或創建錢包時主動在鏈上寫入數據,應立刻視為危險行為。
與此同時,另一家網絡安全公司 Bolster 也披露了一波新的加密詐騙活動。他們觀察到大量郵件冒充 Swapzone 交易聚合器,宣稱發現所謂“秘密盈利技巧”或“零日漏洞”,誘導用戶將一段 JavaScript 代碼粘貼到瀏覽器地址欄。一旦執行,攻擊者便能直接操作用戶的錢包資產。這類攻擊幾乎完全依賴用戶行為,因此在傳播和前端執行兩端都具有高隱蔽性。
Bolster 強調,用戶對任何以 JavaScript 片段形式推送的“技巧”都應保持絕對警惕,一次粘貼即可導致資產被盜。安全防御體系也應在郵件傳播鏈路與瀏覽器 DOM 操作層同時加強監測,以降低攻擊成功率。
整個事件再度揭示瀏覽器擴展生態的監管困難,惡意插件利用正規渠道偽裝自己,借助搜索排名和界面偽裝迅速獲得信任,給加密錢包用戶帶來極高風險。在這一領域,謹慎與驗證永遠是用戶唯一可靠的防線。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
