Google a supprimé 49 extensions de navigateur de poches de crypto-monnaie après qu’un chercheur en sécurité eut découvert qu’elles avaient volé des clés non publiques. Ces extensions Chrome ciblaient les clients des portefeuilles cryptographiques, similaires à Ledger, Trezor, Jaxx, Electrum, Myetherwallet, Metamask, Exodus et Keepkey.
49 extensions de navigateur Chrome malveillantes
Le chercheur en sécurité Harry Denley a révélé mardi que 49 extensions de navigateur Chrome ont volé les clés non publiques des poches de crypto-monnaie des clients. Denley est le directeur de la sécurité de Mycrypto, un instrument open source pour la production de portefeuilles en éther et la gestion des jetons ERC20.
Se présentant comme des extensions de poches de crypto-monnaie authentiques, les 49 extensions de navigateur Chrome prétendent contenir du code malveillant qui a volé des clés non publiques, des phrases mnémoniques et des informations de magasin de clés, a expliqué le directeur. Ils ont rassemblé les informations saisies à travers différentes étapes de configuration des poches et les ont envoyées à l’un des nombreux serveurs de l’attaquant ou à Google Kind. Certaines de ces extensions de navigateur frauduleuses avaient même une communauté de faux clients les classant avec cinq étoiles ou des suggestions constructives. Après Denley, les extensions ressemblent au travail d’une personne en particulier ou d’un groupe de personnes qui se trouvent plus susceptibles d’être principalement basées en Russie.
Les 49 ID d’extension du navigateur Chrome ont été pris en train de voler des clés privées de portefeuille de crypto-monnaie, découvert par le chercheur en sécurité Harry Denley
Les portefeuilles de crypto-monnaie ciblés
Denley a également révélé que les portefeuilles de crypto-monnaie ciblés par les 49 extensions de navigateur Chrome malveillantes étaient Ledger, Trezor, Jaxx, Electrum, Myetherwallet, Metamask, Exodus et Keepkey. Il a découvert que les poches les plus attaquées étaient probablement Ledger, concentré par 57% des extensions de navigateur malveillantes. Les deuxièmes poches les plus ciblées étaient Myetherwallet (22%), adoptées par Trezor (8%), Electrum (4%), Keepkey (4%) et Jaxx (2%).
Tout au long de sa prise, un regard sur le chercheur en sécurité a envoyé des fonds à quelques adresses et a entré quelques secrets et techniques. Il a découvert que les fonds expédiés n’étaient pas systématiquement balayés, concluant que les attaquants étaient tous deux uniquement impliqués dans des comptes de grande valeur ou devaient vider les adresses manuellement. En outre, il a noté que les extensions malveillantes ont commencé à frapper le détaillant Google Chrome en février, lentement et rapidement, en avril. Il a ajouté qu’ils avaient été signalés à Google et éliminés dans les 24 heures.