竊取加密錢包私鑰！Google Chrome擴(kuò)展程序被發(fā)現(xiàn)包含惡意代碼

　　日前有報(bào)道稱，一個(gè)名為“Shitcoin Wallet”的Google Chrome擴(kuò)展程序近日被發(fā)現(xiàn)在網(wǎng)頁上注入了JavaScript代碼，用于從加密貨幣錢包和加密貨幣門戶網(wǎng)站竊取密碼和私鑰，該擴(kuò)展的Chrome擴(kuò)展ID為“ckkgmccefffnbbalkmbbgebbojjogffn”，并于12月9日啟動！下面讓我們來了解一下。

　　據(jù)悉，hitcoin Wallet允許用戶管理以太（ETH）幣，也可以管理基于以太坊ERC20的代幣-通常為ICO發(fā)行的代幣（初始代幣發(fā)行）。用戶可以從瀏覽器中安裝Chrome擴(kuò)展程序并管理ETH coins 和 ERC20 tokens；同時(shí)，如果用戶想從瀏覽器的高風(fēng)險(xiǎn)環(huán)境之外管理資金，則可以安裝Windows桌面應(yīng)用。

　　然而，MyCrypto平臺的安全總監(jiān) Harry Denley 則在近日發(fā)現(xiàn)了該擴(kuò)展程序包含惡意代碼。

　　根據(jù)Denley的說法，對用戶而言，該擴(kuò)展存在有兩種風(fēng)險(xiǎn)。首先，直接在擴(kuò)展內(nèi)管理的任何資金（ETH coins 和基于ERC0的代幣）都處于風(fēng)險(xiǎn)中。Denley表示，該擴(kuò)展會將通過其接口創(chuàng)建或管理的所有錢包的私鑰發(fā)送到位于 erc20wallet［。］tk 的第三方網(wǎng)站。

　　其次，當(dāng)用戶導(dǎo)航到五個(gè)著名和流行的加密貨幣管理平臺時(shí)，該擴(kuò)展還可以主動注入惡意JavaScript代碼。此代碼將竊取登錄憑據(jù)和私鑰，將數(shù)據(jù)發(fā)送到同一 erc20wallet［。］tk 第三方網(wǎng)站。

　　根據(jù)對惡意代碼的分析，該過程如下：

　　●用戶安裝Chrome擴(kuò)展程序

　　●Chrome擴(kuò)展程序請求在77個(gè)網(wǎng)站上注入JavaScript（JS）代碼的權(quán)限［listed here］

　　●當(dāng)用戶導(dǎo)航到這77個(gè)站點(diǎn)中的任何一個(gè)時(shí)，擴(kuò)展程序都會從以下位置加載并注入一個(gè)附加的JS文件：https://erc20wallet［。］tk/js/content_.js此

　　●JS文件包含混淆的代碼［deobfuscated here］

　　●該代碼在五個(gè)網(wǎng)站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和 Switcheo.exchange

　　●一旦激活，惡意JS代碼就會記錄用戶的登錄憑據(jù)，搜索存儲在五個(gè)服務(wù)的dashboards 中的私鑰，最后將數(shù)據(jù)發(fā)送到 erc20wallet［。］tk

　　至于Shitcoin Wallet團(tuán)隊(duì)是否應(yīng)對惡意代碼負(fù)責(zé)亦或是Chrome擴(kuò)展是否受到第三方的破壞，目前還不得而知！此事的后續(xù)進(jìn)展，我們也將繼續(xù)關(guān)注。