chrome 扩展程序包含恶意代码，窃取加密钱包私钥-尊龙凯时官方旗舰店

一个 google chrome 扩展程序被发现在网页上注入了 javascript 代码，以从加密货币钱包和加密货币门户网站窃取密码和私钥。该扩展名为 shitcoin wallet（chrome 扩展 id：ckkgmccefffnbbalkmbbgebbojjogffn），于 12 月 9 日启动。

据介绍，shitcoin wallet 允许用户管理以太（eth）币，也可以管理基于以太坊 erc20 的代币-通常为 ico 发行的代币（初始代币发行）。用户可以从浏览器中安装 chrome 扩展程序并管理 eth coins 和 erc20 tokens；同时，如果用户想从浏览器的高风险环境之外管理资金，则可以安装 windows桌面应用。

然而，mycrypto 平台的安全总监 harry denley 则在近日发现了该扩展程序包含恶意代码。

根据 denley 的说法，对用户而言，该扩展存在有两种风险。首先，直接在扩展内管理的任何资金（eth coins 和基于 erc0 的代币）都处于风险中。denley表示，该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于 erc20wallet[.]tk 的第三方网站。

其次，当用户导航到五个著名和流行的加密货币管理平台时，该扩展还可以主动注入恶意 javascript 代码。此代码将窃取登录凭据和私钥，将数据发送到同一 erc20wallet[.]tk 第三方网站。

根据对恶意代码的分析，该过程如下：

用户安装 chrome 扩展程序
chrome 扩展程序请求在 77 个网站上注入 javascript（js）代码的权限 [listed here]
当用户导航到这77个站点中的任何一个时，扩展程序都会从以下位置加载并注入一个附加的 js 文件：
此 js 文件包含混淆的代码 [deobfuscated here]
该代码在五个网站上激活：myetherwallet.com，idex.market，binance.org，neotracker.io，和 switcheo.exchange
一旦激活，恶意 js 代码就会记录用户的登录凭据，搜索存储在五个服务的 dashboards 中的私钥，最后将数据发送到 erc20wallet[.]tk 

目前尚不清楚 shitcoin wallet 团队是否应对恶意代码负责，或者 chrome 扩展是否受到第三方的破坏。

参考消息：