已發(fā)現(xiàn)一個(gè)擴(kuò)展程序可以在網(wǎng)頁(yè)上注入代碼網(wǎng)站開發(fā)，以從加密貨幣錢包和加密貨幣門戶中竊取密碼和私鑰。

該擴(kuò)展稱為（擴(kuò)展 ID：）并于 12 月 9 日推出。

據(jù)報(bào)道，它允許用戶管理以太幣（ETH），以及基于以太坊的代幣——通常是 ICO（首次代幣發(fā)行）發(fā)行的代幣。 用戶可以安裝擴(kuò)展程序并從瀏覽器中管理 ETH 和代幣； 同時(shí)php代碼加密軟件，如果用戶想在瀏覽器的高風(fēng)險(xiǎn)環(huán)境之外進(jìn)行資金管理，可以安裝桌面應(yīng)用程序。

然而，該平臺(tái)的安全主管最近發(fā)現(xiàn)該擴(kuò)展包含惡意代碼。

據(jù)微軟稱，對(duì)于用戶而言，該擴(kuò)展存在兩種風(fēng)險(xiǎn)。 首先php代碼加密軟件，在擴(kuò)展中直接管理的任何資金（ETH 和基于 ERC0 的代幣）都存在風(fēng)險(xiǎn)。 表示該擴(kuò)展程序會(huì)將通過其界面創(chuàng)建或管理的所有錢包的私鑰發(fā)送到位于 [.]tk 的第三方網(wǎng)站。

其次，當(dāng)用戶導(dǎo)航到五個(gè)知名和流行的加密貨幣管理平臺(tái)時(shí)，該擴(kuò)展程序還可以主動(dòng)注入惡意代碼。 此代碼將竊取登錄憑據(jù)和私鑰，將數(shù)據(jù)發(fā)送到相同的 [.]tk 第三方網(wǎng)站。

根據(jù)惡意代碼分析，流程如下：

用戶安裝擴(kuò)展

擴(kuò)展請(qǐng)求允許在 77 個(gè)網(wǎng)站上注入 (JS) 代碼 [此處]

當(dāng)用戶導(dǎo)航到這 77 個(gè)站點(diǎn)中的任何一個(gè)時(shí)網(wǎng)站開發(fā)，該擴(kuò)展程序會(huì)加載并注入一個(gè)額外的 JS 文件：[.]tk/js/.js here

JS 文件包含混淆代碼 [此處]

該代碼在五個(gè)網(wǎng)站上激活：、dex.、.io 和 .

激活后，惡意 JS 代碼會(huì)記錄用戶的登錄憑據(jù)，搜索存儲(chǔ)在五個(gè)服務(wù)中的私鑰，最后將數(shù)據(jù)發(fā)送到 [.]tk

目前尚不清楚該團(tuán)隊(duì)是否對(duì)惡意代碼負(fù)責(zé)，或者該擴(kuò)展程序是否被第三方破壞。