一個Google Chrome擴展程序被發現在網頁上注入了JavaScript代碼，以從加密貨幣錢包和加密貨幣門戶網站竊取密碼和私鑰。

該擴展名為Shitcoin Wallet(Chrome擴展 ID：ckkgmccefffnbbalkmbbgebbojjogffn)，于12月9日啟動。

據介紹，Shitcoin Wallet允許用戶管理以太(ETH)幣，也可以管理基于以太坊ERC20的代幣-通常為ICO發行的代幣(初始代幣發行)。用戶可以從瀏覽器中安裝Chrome擴展程序并管理ETHcoins和ERC20 tokens;同時，如果用戶想從瀏覽器的高風險環境之外管理資金，則可以安裝Windows桌面應用。

然而，MyCrypto平臺的安全總監Harry Denley則在近日發現了該擴展程序包含惡意代碼。

根據Denley的說法，對用戶而言，該擴展存在有兩種風險。首先，直接在擴展內管理的任何資金(ETHcoins和基于ERC0的代幣)都處于風險中。Denley表示，該擴展會將通過其接口創建或管理的所有錢包的私鑰發送到位于erc20wallet[.]tk的第三方網站。

其次，當用戶導航到五個著名和流行的加密貨幣管理平臺時，該擴展還可以主動注入惡意JavaScript代碼。此代碼將竊取登錄憑據和私鑰，將數據發送到同一erc20wallet[.]tk第三方網站。

根據對惡意代碼的分析，該過程如下：

用戶安裝Chrome擴展程序

Chrome擴展程序請求在77個網站上注入JavaScript(JS)代碼的權限[listedhere]

當用戶導航到這77個站點中的任何一個時，擴展程序都會從以下位置加載并注入一個附加的JS文件：https://erc20wallet[.]tk/js/content_.js此

JS文件包含混淆的代碼[deobfuscatedhere]

該代碼在五個網站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和Switcheo.exchange

一旦激活，惡意JS代碼就會記錄用戶的登錄憑據，搜索存儲在五個服務的dashboards中的私鑰，最后將數據發送到erc20wallet[.]tk

目前尚不清楚Shitcoin Wallet團隊是否應對惡意代碼負責，或者Chrome擴展是否受到第三方的破壞。

關鍵詞：