Los investigadores de ciberseguridad han descubierto una extensión maliciosa de Chrome que se hace pasar por una billetera Ethereum legítima, pero que alberga la funcionalidad de filtrar las frases iniciales de los usuarios.
El nombre de la extensión es «Safery: Ethereum Wallet», y el actor de la amenaza la describió como una «billetera segura para administrar la criptomoneda Ethereum con configuraciones flexibles». Se subió a la Chrome Web Store el 29 de septiembre de 2025 y se actualizó tan recientemente como el 12 de noviembre. Aún está disponible para descargar al momento de escribir este artículo.
«Comercializada como una cartera Ethereum (ETH) sencilla y segura, contiene una puerta trasera que filtra las frases iniciales codificándolas en direcciones Sui y transmitiendo microtransacciones desde una cartera Sui controlada por los actores de amenazas», dijo Kirill Boychenko, investigador de seguridad de Socket dijo .
En concreto, el malware presente en el complemento del navegador está diseñado para robar frases mnemotécnicas de las carteras codificándolas como direcciones de carteras Sui falsas y, a continuación, utilizando microtransacciones para enviar 0,000001 SUI a esas carteras desde una cartera codificada controlada por los actores de amenazas.
El objetivo final del malware es introducir de contrabando la frase inicial en transacciones de cadena de bloques de aspecto normal sin la necesidad de configurar un servidor de comando y control (C2) para recibir la información. Una vez finalizadas las transacciones, el autor de la amenaza puede decodificar las direcciones de los destinatarios para reconstruir la frase inicial original y, en última instancia, extraer activos de la misma.
«Esta extensión roba las frases iniciales de las carteras codificándolas como direcciones Sui falsas y enviándoles microtransacciones desde una cartera controlada por un atacante, lo que permite al atacante monitorear la cadena de bloques, decodificar las direcciones para convertirlas en frases iniciales y agotar los fondos de las víctimas», dijo Koi Security notas en un análisis.
Para contrarrestar el riesgo que representa la amenaza, se recomienda a los usuarios que utilicen extensiones de billetera confiables. Se recomienda a los defensores escanear las extensiones en busca de codificadores mnemotécnicos, generadores de direcciones sintéticas y frases iniciales codificadas de forma rígida, y que bloqueen las que se escriben en la cadena durante la importación o creación de carteras.
«Esta técnica permite a los actores de amenazas cambiar de cadena y punto final de RPC con poco esfuerzo, por lo que las detecciones que se basan en dominios, URL o ID de extensión específicos no se dan cuenta», afirma Boychenko. «Trate las llamadas inesperadas de RPC a la cadena de bloques desde el navegador como una señal de alerta alta, especialmente cuando el producto afirma ser de una sola cadena».