一款名为Crypto Copilot的Chrome浏览器扩展程序近日被曝光实为恶意软件,该程序在用户进行去中心化交易所交易时,通过隐藏转账指令窃取Solana用户的加密资产。
这款由用户”sjclark76″发布的插件,自2024年5月7日上架Chrome应用商店以来持续可用。据Socket安全研究员Kush Pandya于11月25日披露,该扩展会在Raydium交易中植入隐蔽的SystemProgram.transfer方法,将部分交易金额转入攻击者控制的钱包。
攻击手法解析
Crypto Copilot表面上宣称是”在X平台直接交易加密货币的工具,提供实时洞察和无缝执行功能”,但实际上会在每笔交易签名请求前,悄然附加未披露的转账指令。恶意代码会收取最低0.0013 SOL或交易金额0.05%的费用,具体以较高者为准。
Pandya指出:「这种转账操作被静默添加并发送至个人钱包而非协议金库,除非用户在签名前仔细检查每项指令,否则绝大多数用户根本无法察觉。」该扩展还采用代码压缩和变量重命名等混淆技术隐藏恶意行为,用户界面仅显示标准交易详情,同时会与部署在vercel平台的后端服务器通信,用于注册连接的钱包并追踪用户活动。
威胁持续存在
尽管目前仅记录到12次安装,但截至11月26日该扩展仍可被下载。研究人员发现,Crypto Copilot通过集成DexScreener和Helius RPC等合法服务来营造可信形象。Socket分析报告强调:「其周边基础设施似乎仅用于通过Chrome应用商店审核,在维持表面合法性的同时实施后台资金窃取。」安全专家已要求下架该扩展,并建议Solana交易者在签名前仔细核验交易指令,避免使用不熟悉的浏览器扩展程序。
