北京
一个拥有4.5星评分、声称安装量超百万的Chrome扩展程序,正在悄悄窃取用户的加密货币钱包凭证。这款伪装成TronLink钱包的恶意插件,表面看起来完全合法,实则是一个精心设计的钓鱼工具。
区块链安全公司慢雾科技通过其MistEye监控系统发现了这一威胁。当系统将该扩展标记为高风险钓鱼样本后,研究人员立即展开追踪,并在确认恶意行为后向客户发出警报。慢雾随后公开了完整的技术分析,帮助社区识别这一特定攻击手法。
这起攻击的危险之处在于它的隐蔽性。攻击者很可能接管了Chrome网上应用店中一个已有的热门合法扩展程序,直接继承了原有的评分和用户数量。用户在商店页面看到的百万安装量和数百条好评,实际上属于被劫持的原始项目,而非伪造数据。
攻击分为两层架构以躲避安全检测。第一层是扩展程序本身,它伪装成无害的区块链浏览器,仅请求最小权限。第二层是远程钓鱼页面,在扩展的弹出窗口内加载,执行实际的凭证窃取操作。
用户点击扩展图标后,弹出窗口会静默检测远程服务器状态,然后在嵌入式框架中加载钓鱼页面。该页面几乎完美复制了真实的TronLink网页钱包界面。扩展还使用隐藏的Unicode字符和西里尔字母替代字符,使名称在视觉上与"TronLink"极为相似,从而绕过自动化商店审核。
钓鱼页面会收集用户输入的所有敏感信息,包括助记词、私钥、密钥库文件和密码。这些数据被打包后,通过即时通讯工具实时发送给攻击者。一旦用户在该界面输入钱包凭证,资产便面临即时被盗风险。通过此扩展访问的任何钱包都应被视为完全失陷。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
