هشدار تحلیلگران: خطر سرقت کیف پولهای کریپتو به دلیل نفوذ در افزونه کروم
محققان از نفوذ در یک افزونه پرکاربرد کروم به نام SwitchyOmega پرده برداشتهاند که کاربران را در معرض سرقت کلیدهای خصوصی قرار میدهد.
نسخهای از این افزونه پروکسی که به خطر افتاده است، کلیدهای خصوصی کیف پولهای کریپتو را سرقت میکند و بیش از ۵۰۰ هزار کاربر را در معرض خطر قرار داده است.
این نفوذ زمانی آغاز شد که یک ایمیل فیشینگ، یکی از کارکنان Cyberhaven، یک شرکت امنیت داده مبتنی بر هوش مصنوعی، را هدف قرار داد و منجر به تزریق کد مخرب به این افزونه شد.
این ایمیل فیشینگ به دروغ ادعا میکرد که افزونه مرورگر Cyberhaven قوانین گوگل را نقض کرده و تهدید به حذف آن کرده بود، مگر اینکه اقدام فوری صورت گیرد.
SlowMist توضیح داد که مهاجم از OAuth برای دسترسی به حساب Cyberhaven استفاده کرد و به آنها اجازه داد تا نسخه به خطر افتاده افزونه (۲۴.۱۰.۴) را آپلود کنند.
با بهروزرسانی افزونه، کاربران بهطور ناخواسته کد مخرب را نصب کردند.
به نظر میرسد که این نسخه مخرب قادر به سرقت دادههای حساس، از جمله کلیدهای خصوصی و عبارات یادآور از کیف پولهای کریپتو بوده است.
هنوز مشخص نیست که چه تعداد از ۵۰۰ هزار کاربر تحت تأثیر، در معرض این سوءاستفاده قرار گرفتهاند.
تحلیلگران SlowMist به کاربران توصیه کردهاند که شناسههای افزونه نصب شده را بررسی کنند تا مطمئن شوند با نسخه رسمی مطابقت دارند.
حملات به معاملهگران کریپتو از طریق افزونههای مرورگر چیز جدیدی نیست، زیرا عوامل مخرب مدتهاست که سعی در سوءاستفاده از آنها دارند.
در سپتامبر ۲۰۲۴، تحلیلگران شرکت امنیت سایبری Group-IB فاش کردند که گروه هکری بدنام کره شمالی، Lazarus Group، تلاشهای خود را برای هدف قرار دادن متخصصان و توسعهدهندگان کریپتو از طریق برنامههای ویدیویی جعلی و گسترش هدفگیری افزونههای مرورگر افزایش داده است.