江苏
关键词
chrome
Chrome Web Store 再次被曝出现恶意扩展长期上架的问题。网络安全公司 Socket 的研究人员近期指出,一款名为 Safery 的 Chrome 扩展在商店中已存在一年之久,其伪装成以太坊钱包,却暗藏能够窃取用户加密资产的后门。更令人担忧的是,在安全团队提出下架请求数日后,该扩展依旧正常上架,且在搜索“ETH wallet”时排名第四,仍位列可信钱包扩展之间。
Safery 表面上是一个普通的 Ethereum 钱包插件,界面正规、宣传正常,足以让用户产生信任。但其内部隐藏了精心设计的数据外泄机制。扩展会在用户输入助记词后,将这些关键的种子词汇编码进 Sui 区块链的交易地址,并通过攻击者控制的钱包发送微额交易,将编码后的地址广播到链上。看似普通的链上操作,实际承担了泄露助记词的功能。攻击者只需对交易接收地址进行逆向解码,即可还原受害者的钱包助记词,从而窃取加密资产。助记词在整个过程中被伪装在正常的链上行为中,几乎不易被发现。
更具讽刺意味的是,这款恶意扩展即便没有任何评分,也能稳居搜索结果前列,让普通用户更容易误信。Socket 指出,这种伪装方式极具迷惑性,许多用户可能会在毫无警觉的情况下,将自己的助记词交给一个伪装成熟的恶意插件。
研究人员提醒,用户应尽量从可靠的钱包官网或经过验证的发布者页面安装插件,而非直接依赖商店搜索结果。他们建议对钱包类扩展进行深度分析,例如检查是否存在助记词编码器、伪造地址生成器、硬编码种子、异常签名逻辑等。一旦扩展在导入或创建钱包时主动在链上写入数据,应立刻视为危险行为。
与此同时,另一家网络安全公司 Bolster 也披露了一波新的加密诈骗活动。他们观察到大量邮件冒充 Swapzone 交易聚合器,宣称发现所谓“秘密盈利技巧”或“零日漏洞”,诱导用户将一段 JavaScript 代码粘贴到浏览器地址栏。一旦执行,攻击者便能直接操作用户的钱包资产。这类攻击几乎完全依赖用户行为,因此在传播和前端执行两端都具有高隐蔽性。
Bolster 强调,用户对任何以 JavaScript 片段形式推送的“技巧”都应保持绝对警惕,一次粘贴即可导致资产被盗。安全防御体系也应在邮件传播链路与浏览器 DOM 操作层同时加强监测,以降低攻击成功率。
整个事件再度揭示浏览器扩展生态的监管困难,恶意插件利用正规渠道伪装自己,借助搜索排名和界面伪装迅速获得信任,给加密钱包用户带来极高风险。在这一领域,谨慎与验证永远是用户唯一可靠的防线。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
