Cybersecurity-onderzoekers hebben een kwaadaardige Chrome-extensie ontdekt die zich voordoet als een legitieme Ethereum-portemonnee, maar functionaliteit biedt om de zaadzinnen van gebruikers te exfiltreren.
De naam van de extensie is ‘Safery: Ethereum Wallet’, waarbij de bedreigingsactor het omschrijft als een ‘veilige portemonnee voor het beheren van Ethereum-cryptocurrency met flexibele instellingen’. Het is op 29 september 2025 geüpload naar de Chrome Web Store en op 12 november bijgewerkt. Op het moment van schrijven kan het nog steeds worden gedownload.
“Het wordt op de markt gebracht als een eenvoudige, veilige Ethereum (ETH) portemonnee en bevat een achterdeur die zaadzinnen exfiltreert door ze in Sui-adressen te coderen en microtransacties uit te zenden vanuit een door bedreigingsactoren gecontroleerde Sui-portemonnee”, aldus Socket-beveiligingsonderzoeker Kirill Boychenko.
De malware die aanwezig is in de browser-add-on is specifiek ontworpen om geheugensteuntjes voor portemonnees te stelen door ze te coderen als valse Sui-portemonnee-adressen en vervolgens microtransacties te gebruiken om 0,000001 SUI naar die portemonnees te sturen vanuit een hardgecodeerde door een bedreigingsacteur bestuurde portemonnee.
Het einddoel van de malware is om de zaadzin binnen normaal ogende blockchain-transacties te smokkelen zonder dat er een command-and-control (C2)-server hoeft te worden opgezet om de informatie te ontvangen. Zodra de transacties zijn voltooid, kan de bedreigingsacteur de adressen van de ontvangers decoderen om de oorspronkelijke beginzin te reconstrueren en er uiteindelijk activa uit te halen.
“Deze extensie steelt portemonnee-zaadzinnen door ze te coderen als valse Sui-adressen en er microtransacties naar te sturen vanuit een door de aanvaller gecontroleerde portemonnee, waardoor de aanvaller de blockchain kan monitoren, de adressen terug kan decoderen naar zaadzinnen en het geld van de slachtoffers kan leegmaken”, merkt Koi Security op in een analyse.
Om het risico van de dreiging tegen te gaan, wordt gebruikers geadviseerd om vertrouwde portemonnee-extensies te gebruiken. Het wordt verdedigers aanbevolen om extensies te scannen op mnemonische encoders, synthetische adresgeneratoren en hardgecodeerde zaadzinnen, en om de extensies te blokkeren die in de keten schrijven tijdens het importeren of maken van portemonnees.
“Deze techniek laat bedreigingsactoren met weinig moeite ketens en RPC-eindpunten wisselen, zodat detecties die afhankelijk zijn van domeinen, URL’s of specifieke extensie-ID’s deze zullen missen”, aldus Boychenko. “Behandel onverwachte blockchain-RPC-oproepen vanuit de browser als een hoog signaal, vooral wanneer het product beweert een enkele keten te zijn.”
