Google Chrome-tillägget för kryptohandel riktar sig till Solana-användare

Angripare använder en skadlig Google Chrome-tillägg förklädd till ett handelsverktyg för bekvämlighet för att stjäla små delar av förfallstiden ur fickorna på intet ont anande Solana-användare.

Enligt forskning utförd av cybersäkerhetsföretaget Socket är Chrome-tillägget fortfarande tillgängligt på Chrome Web Store under namnet "Crypto Copilot."

Det marknadsförs som en produktivitetshöjare som låter användare genomföra Solana-affärer direkt från sitt X-flöde.

Tillägget har för närvarande ett 1-stjärnigt betyg och endast 18 nedladdningar vid pressläggning, men har varit live sedan den 18 juni 2024.

Hur riktar sig Crypto Copilot till Solana-användare?

Vid första anblicken uppfyller Crypto Copilot alla kriterier för ett legitimt verktyg, med integrering av olika tredjeparts-API:er som DexScreener för prisdata, Helius för Solana-infrastrukturåtkomst och Phantom eller Solflare för plånboksanslutningar.

Dessa funktioner får det att se ut och fungera som ett genuint decentraliserat handelsgränssnitt, samtidigt som det tyst suger ut en dold avgift i bakgrunden.

"Ingen av dessa tjänster är illvilliga i sig, men tillsammans skapar de en övertygande fasad kring kärnfrågan: varje byte inkluderar en okänd SOL-överföring till en hårdkodad personlig plånbok," skrev Socket.

För att genomföra affärer använder den Raydium, en decentraliserad börs på Solana som låter användare byta tokens.

Men bakom kulisserna lägger den till en extra instruktion som överför en liten del av transaktionen till angriparens plånbok.

På ytan ser användaren bara de förväntade bytesdetaljerna.

Plånboksbekräftelseskärmarna sammanfattar helt enkelt transaktionen utan att visa individuella instruktioner, utan att ge någon tydlig indikation på att två åtgärder utförs samtidigt.

När affärer utförs ombeds användare bara godkänna transaktionen en gång, där både legitima och skadliga instruktioner utförs tillsammans som en enda atomisk operation.

On-chain-analys utförd av Socket fann hittills endast ett begränsat antal överföringar till angriparens plånbok, vilket teamet tillskriver att tillägget antingen inte har marknadsförts i stor utsträckning eller fortfarande är i ett tidigt distributionsstadium.

Dock har förlängningen byggts för att skalas effektivt, och Socket varnar för att potentiella skador ökar med storleken och frekvensen av byten.

"Användare med större innehav eller hög handelsvolym kan drabbas av avsevärt högre förluster om de omedvetet förlitar sig på denna förlängning för rutinmässiga swappar. Med tiden samlar angriparen på sig SOL direkt i sin personliga plånbok, vilket gör tillägget till en återkommande intäktsmekanism snarare än ett legitimt DEX-gränssnitt," tillade Socket.

Socket har uppmanat användare att granska varje transaktionsinstruktion innan de signerar, särskilt på Solana, där illvilligt beteende som detta bara kan upptäckas om användaren manuellt expanderar och inspekterar varje instruktion.

De som redan har installerat Crypto Copilot bör flytta sina medel till en ren plånbok och omedelbart dra tillbaka alla tidigare anslutna sajter.

Skadliga Chrome-tillägg fortsätter att dyka upp

Crypto Copilot är bara en av många vilseledande Chrome-tillägg som har dykt upp på Chrome Web Store.

Sedan början av förra året har antalet attacker med skadliga tillägg ökat, och vissa har lyckats dra in miljoner i stulna medel.

Förra året rapporterade Invezz om Bull Checker, en annan falsk tillägg som riktade sig till Solana-användare genom att utge sig för att vara en memecoin-tjänst.

I verkligheten kapade den transaktioner för att omdirigera användarnas pengar till en angriparkontrollerad plånbok.

Under tiden upptäckte forskare på Koi Security i augusti att en grupp känd som GreedyBear hade sugit över 1 miljon dollar i kryptovaluta med skadliga webbläsartillägg, skadlig kod och bluffwebbplatser i en samordnad operation som sträckte sig över flera attackvektorer.