php代码加密软件一个扩展程序被发现在网页上注入了代码,以从加密货币门户网站窃取密码和私钥php 代码加密
2023-01-08
已发现一个扩展程序可以在网页上注入代码网站开发,以从加密货币钱包和加密货币门户中窃取密码和私钥。
该扩展称为(扩展 ID:)并于 12 月 9 日推出。
据报道,它允许用户管理以太币(ETH),以及基于以太坊的代币——通常是 ICO(首次代币发行)发行的代币。 用户可以安装扩展程序并从浏览器中管理 ETH 和代币; 同时php代码加密软件,如果用户想在浏览器的高风险环境之外进行资金管理,可以安装桌面应用程序。
然而,该平台的安全主管最近发现该扩展包含恶意代码。
据微软称,对于用户而言,该扩展存在两种风险。 首先php代码加密软件,在扩展中直接管理的任何资金(ETH 和基于 ERC0 的代币)都存在风险。 表示该扩展程序会将通过其界面创建或管理的所有钱包的私钥发送到位于 [.]tk 的第三方网站。
其次,当用户导航到五个知名和流行的加密货币管理平台时,该扩展程序还可以主动注入恶意代码。 此代码将窃取登录凭据和私钥,将数据发送到相同的 [.]tk 第三方网站。
根据恶意代码分析,流程如下:
用户安装扩展
扩展请求允许在 77 个网站上注入 (JS) 代码 [此处]
当用户导航到这 77 个站点中的任何一个时网站开发,该扩展程序会加载并注入一个额外的 JS 文件:[.]tk/js/.js here
JS 文件包含混淆代码 [此处]
该代码在五个网站上激活:、dex.、.io 和 .
激活后,恶意 JS 代码会记录用户的登录凭据,搜索存储在五个服务中的私钥,最后将数据发送到 [.]tk
目前尚不清楚该团队是否对恶意代码负责,或者该扩展程序是否被第三方破坏。
