top of page

Cryptomonnaie : une extension Chrome soupçonnée de voler des clés privées de portefeuilles

Cryptomonnaie : une extension Chrome soupçonnée de voler des clés privées de portefeuilles

Prise la main dans le sac… de cryptomonnaie. Une extension de Google Chrome a été surprise en train d’injecter du code JavaScript sur des pages web pour voler des mots de passe et des clés privées de portefeuilles et de portails de cryptomonnaie.

L’extension, baptisée Shitcoin Wallet (ID de l’extension Chrome : ckkgmccefffnbbalkmbbgebbojjogffn), a été lancée le 9 décembre dernier. Selon un billet d’introduction du blog, Shitcoin Wallet permet aux utilisateurs de gérer les pièces de monnaie d’Ether (ETH), mais aussi les jetons basés sur Ethereum ERC20 – jetons habituellement émis pour les ICO (offre initiale de pièces de monnaie).

Les utilisateurs peuvent installer l’extension Chrome et gérer les pièces d’Ether et les jetons ERC20 depuis leur navigateur, ou ils peuvent installer une application de bureau Windows, s’ils veulent gérer leurs fonds depuis l’extérieur, d’un environnement plus risqué de leur navigateur.

publicité

Un comportement malveillant

Cependant, l’application de portefeuille ne semble pas tenir toutes ses promesses. Ce mercredi, Harry Denley, directeur de la sécurité de la plateforme MyCrypto, a en effet découvert que celle-ci contient un code malveillant.

Selon ce dernier, l’extension est dangereuse pour les utilisateurs de deux façons. Premièrement, tous les fonds (pièces de l’ETH et jetons basés sur l’ERC0) gérés directement à l’intérieur de l’extension sont en danger. Comme il le relève, l’extension envoie les clés privées de tous les portefeuilles créés ou gérés via son interface à un site web tiers situé à erc20wallet[.]tk.

Deuxièmement, l’extension injecte aussi activement du code JavaScript malveillant lorsque les utilisateurs naviguent vers cinq plateformes de gestion de cryptomonnaies populaires. Ce code vole les identifiants de connexion et les clés privées, des données qui sont envoyées au même site web tiers erc20wallet[.]tk.

Une procédure complexe

Selon une analyse du code malveillant, le processus se déroule comme suit :

  1. les utilisateurs installent l’extension Chrome ;

  2. l’extension Chrome demande la permission d’injecter du code JavaScript (JS) sur 77 sites web [listés ici] ;

  3. lorsque les utilisateurs naviguent sur l’un de ces 77 sites, l’extension charge et injecte un fichier JS supplémentaire à partir de : https://erc20wallet[.]tk/js/content_.js ;

  4. ce fichier JS contient du code obfusqué [découvert ici] ;

  5. le code s’active sur cinq sites web : MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io, et Switcheo.exchange ;

  6. une fois activé, le code JS malveillant enregistre les identifiants de connexion de l’utilisateur, recherche les clés privées stockées dans les tableaux de bord des cinq services et, enfin, envoie les données à erc20wallet[.]tk.

Au moment de la rédaction du présent document, l’extension était encore disponible en téléchargement sur la boutique web officielle de Google Chrome, où elle répertorie 625 installations. La responsabilité de l’équipe de Shitcoin Wallet dans la mise en place du code malveillant n’est pas encore claire et nul ne sait si l’extension Chrome n’a pas été compromise par un tiers. Interrogée par ZDNet, l’équipe Shitcoin Wallet n’avait pas encore répondu à nos sollicitations à l’heure où ces lignes étaient écrites.

Sur le site officiel de l’extension, des installateurs 32 bits et 64 bits ont également été mis à la disposition des utilisateurs. Les analyses effectuées avec VirusTotal, un site web qui regroupe les moteurs d’analyse de virus de plusieurs fabricants de logiciels antivirus, montrent que les deux fichiers sont propres. Cependant, de nombreux commentaires publiés sur la chaîne Telegram du portefeuille suggèrent que les applications de bureau pourraient contenir un code malveillant similaire, voire pire.

Source : ZDNet.com

0 vue0 commentaire

Comentários


bottom of page