Chrome扩展窃取加密货币钱包私钥

研究人员发现一个chrome扩展在web页面上注入JS代码来窃取加密货币钱包和加密货币网关的秘密和私钥。该Chrome扩展名为 Shitcoin Wallet (Chrome extension ID: ckkgmccefffnbbalkmbbgebbojjogffn)，发布时间为2019年12月9日。

Shitcoin Wallet的官方介绍中写道，该扩展可以帮助用户管理ETH加密货币和基于Ethereum ERC20的token。用户可以安装该chrome扩展来通过浏览器管理ETH和ERC20 tokens，也可以安装Windows桌面应用程序来实现同样的功能。

恶意行为

但该钱包的行为和许诺的并不一样。昨天，mycrypto.com的安全研究人员Denley发现该扩展中含有恶意代码。

该扩展通过两种方式来对用户产生潜在影响。第一，该扩展直接管理的所有资金会产生危险（ETH币和基于ERC0的token）。该扩展会通过接口讲创建和管理的所有钱包的私钥发送给第三方网站erc20wallet[.]tk。

第二，当用户访问5个著名或主流的加密货币管理平台时，该扩展会注入恶意JS代码。注入的恶意代码会窃取用户的登陆凭证和私钥，窃取的数据仍然会发送给第三方网站erc20wallet[.]tk。

研究人员对注入的恶意代码进一步分析发现，具体过程如下所示：

· 用户安装Chrome扩展；

· Chrome扩展请求在77个网站注入JS代码的权限；

· 当用户访问这77个网站中的任意一个时，该扩展就会从https://erc20wallet[.]tk/js/content_.js加载和注入JS代码；

· JS文件中含有混淆的代码

· 代码只在5个网站上运行，分别是 MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io,  Switcheo.exchange

· 一个运行，恶意JS代码会记录用户的登陆凭证，搜索存储在这5个访问的dashboard中的私钥，最终将收集的数据发送到erc20wallet[.]tk。

截至目前，该扩展仍然可以从Google Chrome Web应用商店进行下载和安装，目前下载量超过620个。

截止目前，还不清楚是Shitcoin Wallet团队注入的恶意代码，还说该扩展被第三方入侵。Shitcoin Wallet团队也没有对该事件进行回应。

DESKTOP APP更危险

在该扩展的官方网站上， 用户可以下载32位和64位的应用程序桌面版本。VirusTotal病毒扫描结果表明这2个版本的应用程序都不含恶意代码。但在Telegram帖子中有许多用户发表评论称该桌面版应用也含有恶意代码，甚至可能不仅仅是恶意代码——有可能是勒索软件。