一個 Google Chrome 擴展程序被發(fā)現(xiàn)在網(wǎng)頁上注入了 JavaScript 代碼，以從加密貨幣錢包和加密貨幣門戶網(wǎng)站竊取密碼和私鑰。該擴展名為 Shitcoin Wallet（Chrome 擴展 ID：ckkgmccefffnbbalkmbbgebbojjogffn），于 12 月 9 日啟動。

據(jù)介紹，Shitcoin Wallet 允許用戶管理以太（ETH）幣，也可以管理基于以太坊 ERC20 的代幣-通常為 ICO 發(fā)行的代幣（初始代幣發(fā)行）。用戶可以從瀏覽器中安裝 Chrome 擴展程序并管理 ETH coins 和 ERC20 tokens；同時，如果用戶想從瀏覽器的高風(fēng)險環(huán)境之外管理資金，則可以安裝 Windows桌面應(yīng)用。

然而，MyCrypto 平臺的安全總監(jiān) Harry Denley 則在近日發(fā)現(xiàn)了該擴展程序包含惡意代碼。

根據(jù) Denley 的說法，對用戶而言，該擴展存在有兩種風(fēng)險。首先，直接在擴展內(nèi)管理的任何資金（ETH coins 和基于 ERC0 的代幣）都處于風(fēng)險中。Denley表示，該擴展會將通過其接口創(chuàng)建或管理的所有錢包的私鑰發(fā)送到位于 erc20wallet[.]tk 的第三方網(wǎng)站。

其次，當用戶導(dǎo)航到五個著名和流行的加密貨幣管理平臺時，該擴展還可以主動注入惡意 JavaScript 代碼。此代碼將竊取登錄憑據(jù)和私鑰，將數(shù)據(jù)發(fā)送到同一 erc20wallet[.]tk 第三方網(wǎng)站。

根據(jù)對惡意代碼的分析，該過程如下：

用戶安裝 Chrome 擴展程序

Chrome 擴展程序請求在 77 個網(wǎng)站上注入 JavaScript（JS）代碼的權(quán)限 [listed here]

當用戶導(dǎo)航到這77個站點中的任何一個時，擴展程序都會從以下位置加載并注入一個附加的 JS 文件：https://erc20wallet[.]tk/js/content_.js

此 JS 文件包含混淆的代碼 [deobfuscated here]

該代碼在五個網(wǎng)站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和 Switcheo.exchange

一旦激活，惡意 JS 代碼就會記錄用戶的登錄憑據(jù)，搜索存儲在五個服務(wù)的 dashboards 中的私鑰，最后將數(shù)據(jù)發(fā)送到 erc20wallet[.]tk 

目前尚不清楚 Shitcoin Wallet 團隊是否應(yīng)對惡意代碼負責(zé)，或者 Chrome 擴展是否受到第三方的破壞。