Компроміс для розширення Chrome ставить під загрозу криптовалюти, аналітики попереджають

Дослідники розкрили порушення в широко використовуваному хромовій розширенні перемикача, що піддає користувачів приватних крадіжках ключів.

Компрометована версія Chrome Proxy Extension Switchyomega краде приватні ключі з криптовалют, що піддає ризик понад 500 000 користувачів, аналітики у Slowmist попереджають.

Порушення розпочалося, коли фішинг-електронний лист націлився на працівника Cyberhaven, компанії, що працює на AI, в результаті чого введення шкідливого коду в розширення. Фішинг -електронний лист помилково стверджував, що розширення браузера Cyberhaven порушило політику Google та загрожує усуненням, якщо не буде вжито негайних заходів, показує звіт про дослідження 12 березня.

Slowmist пояснив, що зловмисник використовував OAuth для доступу до облікового запису Cyberhaven, що дозволяє їм завантажувати компрометовану версію розширення (24.10.4). Коли розширення було оновлено, користувачі несвідомо встановлювали шкідливий код.

Зловмисна версія розширення, як видається, була здатна крадіжка чутливих даних, включаючи приватні ключі та мнемонічні фрази з криптовалют. Залишається незрозумілим, хоча кількість 500 000 постраждалих користувачів піддавалися подвигу. Аналітики Slowmist порадили користувачам перевірити встановлені ідентифікатори розширення, щоб переконатися, що вони відповідають офіційній версії.

Напади на торговців криптовалютами через розширення браузера – це не щось нове, оскільки погані актори вже деякий час намагаються використовувати їх.

У вересні 2024 року аналітики групи кібербезпеки Group-IB виявили, що горезвісна північнокорейська хакерська банда Lazarus, відома своїми складними кібер-кампаніями проти криптовалюти, посилила свої зусилля щодо націлювання на криптовалюту та розробників через фальшиві відео-додатки та розширення націлювання на розширення браузер.