Як з’ясувалося, розширення Chrome вводить код JavaScript на веб-сторінках для крадіжки паролів і закритих ключів з криптовалютних гаманців і криптовалютних порталів. Розширення називається Shitcoin Wallet, яке було запущено минулого місяця, 9 грудня. Згідно з повідомленням в блозі, Shitcoin Wallet дозволяє користувачам керувати Ether (ETH), а також токенами на основі Ethereum ERC20 – токенами, що зазвичай випускаються для ICO. Користувачі можуть встановити розширення Chrome або встановити десктопний додаток Windows.

Проте, додаток гаманця не був тим, чим обіцяв бути. Вчора Гаррі Денлі (Harry Denley), директор з безпеки на платформі MyCrypto, виявив, що розширення містить шкідливий код. По-перше, будь-які фонди (монети ETH і токени на основі ERC0), керовані безпосередньо всередині розширення, знаходяться в небезпеці. Денлі каже, що розширення відправляє закриті ключі всіх гаманців, створених або керованих через його інтерфейс, на сторонній веб-сайт. По-друге, розширення також активно впроваджує шкідливий код JavaScript, коли користувачі переходять на 5 відомих і популярних платформ управління криптовалютою. Цей код краде облікові дані для входу та особисті ключі, які він відправляє на той же сторонній веб-сайт.

Як розширення Chrome викрадало дані:

• користувачі встановлюють розширення Chrome
• розширення запитує дозвіл на впровадження коду JavaScript (JS) на 77 веб-сайтах
• коли користувачі переходять на будь-який з цих 77 сайтів, розширення завантажує і додає ще один JS-файл
• цей JS-файл містить заплутаний код
• код активується на 5 веб-сайтах: MyEtherWallet, Idex Market, Binance, NeoTracker та Switcheo.
• після активації шкідливий код JS записує облікові дані користувача для входу в систему, шукає закриті ключі, що зберігаються на панелях управління 5 служб, і, нарешті, відправляє дані на сторонній сайт

На момент написання новини, розширення для браузера все ще можна було завантажити через офіційний інтернет-магазин Google Chrome, де було вказано 625 завантажень. Невідомо, чи несе команда Shitcoin Wallet відповідальність за шкідливий код або розширення Chrome було зламано якимись хакерами. Представник команди Shitcoin Wallet не надав коментарів.

На офіційному сайті розширення користувачам також були доступні десктопні 32-розрядні і 64-розрядні версії програми. Сканування за допомогою VirusTotal, веб-сайту, що об’єднує антивірусні ядра декількох виробників антивірусного програмного забезпечення, показує обидва файли як чисті. Проте, припускається, що ці програми можуть містити аналогічний шкідливий код, якщо не щось гірше.