Los investigadores de ciberseguridad han descubierto una nueva extensión maliciosa en Chrome Web Store que es capaz de inyectar una transferencia sigilosa de Solana en una transacción de intercambio y transferir los fondos a una billetera de criptomonedas controlada por un atacante.
La extensión, denominada Copiloto criptográfico , fue publicado por primera vez por un usuario llamado «sjclark76» el 7 de mayo de 2024. El desarrollador describe el complemento del navegador diciendo que ofrece la posibilidad de «operar con criptomonedas directamente en X con información en tiempo real y una ejecución perfecta». La extensión tiene 12 instalaciones y permanece disponible para su descarga al momento de escribir este artículo.
«Detrás de la interfaz, la extensión inyecta una transferencia adicional en cada intercambio de Solana y desvía un mínimo de 0,0013 SOL o el 0,05% del importe de la operación a una cartera codificada y controlada por un atacante», dijo Kush Pandya, investigador de seguridad de Socket dijo en un informe del martes.
En concreto, la extensión incorpora un código ofuscado que cobra vida cuando un usuario realiza un intercambio de Raydium y lo manipula para inyectar una transferencia SOL no revelada en la misma transacción firmada. Raydium es una bolsa descentralizada (DEX) y creadora de mercado automatizada (AMM) basada en la cadena de bloques de Solana.
Funciona añadiendo un oculto Programa de sistema. Transferencia método util para cada intercambio antes de solicitar la firma del usuario y envía la tarifa a un cartera codificada incrustado en el código. La comisión se calcula en función del importe negociado, cobrando un mínimo de 0,0013 SOL para las operaciones y de 2,6 SOL y un 0,05% del importe de la permuta si es superior a 2,6 SOL. Para evitar que lo detecten, el comportamiento malicioso se oculta mediante técnicas como minificación y cambio de nombre de variables.
La extensión también se comunica con un backend alojado en el dominio «crypto-coplilot-dashboard.vercel [.] app» para registrar carteras conectadas, obtener puntos y datos de referencia e informar sobre la actividad de los usuarios. El dominio, junto con la «aplicación cryptocopilot [.]», no aloja ningún producto real.
Lo notable del ataque es que los usuarios desconocen por completo la tarifa oculta de la plataforma, y la interfaz de usuario solo muestra los detalles del intercambio. Además, Crypto Copilot utiliza servicios legítimos como DexScreener y Helius RPC para darle una apariencia de confianza.
«Como esta transferencia se añade de forma silenciosa y se envía a una cartera personal en lugar de a una tesorería de protocolos, la mayoría de los usuarios nunca la notarán a menos que inspeccionen cada instrucción antes de firmarla», afirma Pandya. «La infraestructura circundante parece diseñada solo para pasar la revisión de Chrome Web Store y dar una apariencia de legitimidad, mientras que las tarifas pasan a un segundo plano».