Se descubrió que una extensión de Google Chrome inyectaba código JavaScript en páginas web para robar contraseñas y claves privadas de billeteras de criptomonedas y portales de criptomonedas. La extensión se llama Shitcoin Wallet (ID de extensión de Chrome: ckkgmccefffnbbalkmbbgebbojjogffn), y se lanzó el mes pasado, el 9 de diciembre.

Según una publicación de blog introductoria, Shitcoin Wallet permite a los usuarios administrar monedas Ether (ETH), pero también tokens basados en Ethereum ERC20, tokens generalmente emitidos para ICO (ofertas iniciales de monedas). Los usuarios pueden instalar la extensión de Chrome y administrar monedas ETH y tokens ERC20 desde su navegador, o pueden instalar una aplicación de escritorio de Windows, si desean administrar sus fondos desde fuera del entorno más riesgoso de un navegador.
Desglose de comportamiento malicioso
Sin embargo, la aplicación de billetera no era lo que prometía ser. Harry Denley, Director de Seguridad de la plataforma MyCrypto, descubrió que la extensión contenía código malicioso. Según Denley, la extensión es peligrosa para los usuarios de dos maneras. Primero, cualquier fondo (monedas ETH y tokens basados en ERC0) administrados directamente dentro de la extensión está en riesgo. Denley dice que la extensión envía las claves privadas de todas las billeteras creadas o administradas a través de su interfaz a un sitio web de terceros ubicado en erc20wallet [.] Tk.
En segundo lugar, la extensión también inyecta activamente código JavaScript malicioso cuando los usuarios navegan a cinco plataformas de gestión de criptomonedas conocidas y populares. Este código roba credenciales de inicio de sesión y claves privadas, datos que se envían al mismo sitio web de terceros erc20wallet [.] Tk.
Según un análisis del código malicioso, el proceso es el siguiente:
- Los usuarios instalan la extensión de Chrome.
- La extensión de Chrome solicita permiso para inyectar código JavaScript (JS) en 77 sitios web [enumerados aquí].
- Cuando los usuarios navegan a cualquiera de estos 77 sitios, la extensión carga e inyecta un archivo JS adicional desde: https: // erc20wallet [.] Tk / js / content_.js
- Este archivo JS contiene código ofuscado [desobuscado aquí]
- El código se activa en cinco sitios web: MyEtherWallet.com , Idex.Market , Binance.org , NeoTracker.io , y Switcheo.exchange
Una vez activado, el código JS malicioso registra las credenciales de inicio de sesión del usuario, busca claves privadas almacenadas dentro de los paneles de los cinco servicios y, finalmente, envía los datos a erc20wallet [.] Tk
En el momento de escribir este artículo, la extensión todavía estaba disponible para su descarga a través de la tienda web oficial de Google Chrome.
No está claro si el equipo de Shitcoin Wallet es responsable del código malicioso o si la extensión de Chrome fue comprometida por un tercero. Un portavoz del equipo de Shitcoin Wallet no respondió a una solicitud de comentarios antes de la publicación de este artículo.
Aplicación de escritorio
En el sitio web oficial de la extensión, también se pusieron a disposición de los usuarios instaladores de 32 y 64 bits.
Los escaneos con VirusTotal, un sitio web que agrega los motores de escaneo de virus de varios fabricantes de software antivirus, muestran ambos archivos como limpios.
Sin embargo, numerosos comentarios publicados en el canal Telegram de la billetera sugieren que las aplicaciones de escritorio podrían contener un código malicioso similar, si no peor.
Origen: Chrome extension caught stealing crypto-wallet private keys | ZDNet