Согласно новым данным исследовательской группы Socket, недавно обнаруженное вредоносное расширение Chrome крадет средства у трейдеров Solana, незаметно взимая комиссию с каждой совершаемой ими транзакции.
Расширение под названием Crypto Copilot доступно в Chrome Web Store с июня 2024 года и позиционирует себя как инструмент для быстрого совершения сделок Solana прямо из ленты X пользователей.
Однако за интерфейсом исследователи обнаружили код, предназначенный для вставки дополнительного перевода в каждую транзакцию Raydium, перенаправляя не менее 0,0013 SOL, или 0,05% от каждой транзакции, на кошелек, контролируемый злоумышленником.
Crypto Copilot отправляет данные кошелька в подозрительный бэкенд, одновременно истощая средства трейдеров
Исследователи Socket утверждают, что расширение создает обычную инструкцию обмена Raydium, но затем добавляет вторую инструкцию, которая переводит SOL на адрес кошелька Bjeida.
Пользователи видят только законный обмен в интерфейсе, и большинство окон подтверждения кошелька отображают только общий итог транзакции, а не полный список инструкций.
В результате трейдеры подтверждают то, что кажется стандартной транзакцией, не подозревая о скрытом переводе, встроенном в нее.
Логика комиссии полностью жестко закодирована внутри расширения и скрыта под слоями запутанного JavaScript.
Socket отмечает, что расширение применяет наибольшее значение между минимальной комиссией и комиссией в процентах, что означает, что сделки выше 2,6 SOL влекут за собой полное извлечение 0,05%.
Исследователи обнаружили, что расширение использует переименование переменных и агрессивное минифицирование для сокрытия своего поведения, а кошелек злоумышленника помечен под безобидной переменной глубоко внутри пакета.
На момент публикации расширение остается в сети. Socket сообщает, что отправил запрос Google на удаление, но не получил подтверждения о принятых мерах.
Помимо кражи комиссий, исследователи также обнаружили, что Crypto Copilot подключается к бэкенду, размещенному на crypto-coplilot-dashboard.vercel.app, домене с орфографической ошибкой, который показывает только пустую страницу-заполнитель.
Несмотря на пустой сайт, расширение регулярно отправляет идентификаторы подключенных кошельков и данные об активности в этот бэкенд, а также использует жестко закодированный API-ключ Helius для имитации транзакций и RPC-вызовов.
Отдельный домен, связанный с инструментом, cryptocopilot.app, в настоящее время припаркован.
Исследователи говорят, что отсутствие документации, действующей панели управления или какой-либо поддерживающей инфраструктуры несовместимо с законным торговым продуктом и вместо этого отражает общие практики, наблюдаемые во вредоносных расширениях браузера.
Хотя активность в сети, связанная с кошельком злоумышленника, остается ограниченной, исследователи полагают, что низкий объем транзакций, вероятно, отражает относительно небольшое распространение расширения, а не отсутствие риска.
Они предупреждают, что механизм масштабируется с торговой активностью, а это означает, что пользователи с большим объемом операций могут со временем потерять большие суммы, не замечая постепенной утечки.
Крипто-убытки упали до минимумов 2025 года, но атаки через расширения браузера продолжают расти
Открытие произошло в период повышенного внимания к крипто-угрозам на основе браузеров. В июле было обнаружено более 40 вредоносных расширений Firefox, имитирующих основные поставщики кошельков, включая MetaMask, Coinbase, Phantom, OKX и Trust Wallet.
Эти расширения собирали учетные данные кошелька непосредственно из браузеров пользователей и передавали их на серверы, контролируемые злоумышленниками.
Такие биржи, как OKX, публично предупредили пользователей и подали жалобы после обнаружения поддельных плагинов, маскирующихся под официальные инструменты кошелька. Расширения браузера стали одним из самых устойчивых векторов атак в 2025 году, что внесло свой вклад в растущую долю крипто-убытков.
По данным CertiK, нарушения, связанные с кошельками, составили 1,7 миллиарда долларов из 2,2 миллиарда долларов, украденных в первой половине года. Инциденты фишинга добавили еще 410 миллионов долларов.
Несмотря на рост угроз на основе расширений, в более широком крипто-секторе ненадолго произошло снижение успешных взломов.
PeckShield зафиксировала всего 18,18 миллиона долларов, украденных в результате 15 инцидентов в октябре, что является самым низким месячным показателем за год.
Этот показатель был намного выше месяцем ранее, когда в сентябре убытки достигли 127,06 миллиона долларов, вызванные почти 20 крупными эксплойтами. Но даже когда общие убытки снизились, громкие взломы продолжались.
Автор – Hassan Shittu
