Cybersecurity-onderzoekers hebben een nieuwe kwaadaardige extensie in de Chrome Web Store ontdekt die in staat is om een heimelijke Solana-overdracht in een ruiltransactie te injecteren en het geld over te dragen naar een door de aanvaller bestuurde cryptocurrency-portemonnee.
De extensie, genaamd Crypto Copilot, werd voor het eerst gepubliceerd door een gebruiker genaamd “sjclark76” op 7 mei 2024. De ontwikkelaar beschrijft de browser-add-on als het aanbieden van de mogelijkheid om “crypto rechtstreeks op X te verhandelen met realtime inzichten en naadloze uitvoering.” De extensie heeft 12 installaties en blijft op het moment van schrijven beschikbaar om te downloaden.
“Achter de interface injecteert de extensie een extra overdracht in elke Solana-swap, waarbij minimaal 0,0013 SOL of 0,05% van het handelsbedrag wordt overgeheveld naar een hardgecodeerde, door de aanvaller bestuurde portemonnee”, zei Socket-beveiligingsonderzoeker Kush Pandya in een rapport van dinsdag.
Concreet bevat de extensie versluierde code die tot leven komt wanneer een gebruiker een Raydium-swap uitvoert en deze manipuleert om een geheime SOL-overdracht in dezelfde ondertekende transactie te injecteren. Raydium is een gedecentraliseerde beurs (DEX) en geautomatiseerde marktmaker (AMM) gebouwd op de Solana-blockchain.
Het werkt door een verborgen SystemProgram.transfer util-methode toe te voegen aan elke swap voordat de handtekening van de gebruiker wordt gevraagd, en stuurt de vergoeding naar een hardgecodeerde portemonnee die in de code is ingebed. De vergoeding wordt berekend op basis van het verhandelde bedrag, waarbij minimaal 0,0013 SOL in rekening wordt gebracht voor transacties en 2,6 SOL en 0,05% van het swapbedrag als dit meer dan 2,6 SOL is. Om detectie te voorkomen, wordt het kwaadaardige gedrag verborgen met behulp van technieken zoals minificatie en het hernoemen van variabelen.
De extensie communiceert ook met een backend die wordt gehost op het domein “crypto-coplilot-dashboard.vercel(.)app” om verbonden portemonnees te registreren, punten en verwijzingsgegevens op te halen en gebruikersactiviteit te rapporteren. Het domein host, samen met de “cryptocopilot(.)app”, geen echt product.
Het opvallende aan de aanval is dat gebruikers volledig in het ongewisse blijven over de verborgen platformkosten, en dat de gebruikersinterface alleen details van de ruil toont. Bovendien maakt Crypto Copilot gebruik van legitieme diensten zoals DexScreener en Helius RPC om het een laagje vertrouwen te geven.
“Omdat deze overdracht stil wordt toegevoegd en naar een persoonlijke portemonnee wordt gestuurd in plaats van naar een protocolopslag, zullen de meeste gebruikers dit nooit merken, tenzij ze elke instructie inspecteren voordat ze ondertekenen,” zei Pandya. “De omringende infrastructuur lijkt alleen ontworpen om de beoordeling van de Chrome Web Store te doorstaan en een laagje legitimiteit te bieden, terwijl op de achtergrond kosten worden overgeheveld.”
