Investigadores de ciberseguridad han descubierto una nueva extensión maliciosa en Chrome Web Store que es capaz de inyectar una transferencia sigilosa de Solana en una transacción de intercambio y transferir los fondos a una billetera de criptomonedas controlada por un atacante.
La extensión, llamada Crypto Copilot, fue publicada por primera vez por un usuario llamado «sjclark76» el 7 de mayo de 2024. El desarrollador describe el complemento del navegador como que ofrece la capacidad de «intercambiar criptomonedas directamente en X con información en tiempo real y una ejecución perfecta». La extensión tiene 12 instalaciones y permanece disponible para descargar al momento de escribir este artículo.
«Detrás de la interfaz, la extensión inyecta una transferencia adicional en cada intercambio de Solana, desviando un mínimo de 0,0013 SOL o 0,05% del monto de la transacción a una billetera codificada controlada por el atacante», dijo el investigador de seguridad de Socket, Kush Pandya, en un informe del martes.
Específicamente, la extensión incorpora un código ofuscado que cobra vida cuando un usuario realiza un intercambio de Raydium, manipulándolo para inyectar una transferencia SOL no revelada en la misma transacción firmada. Raydium es un intercambio descentralizado (DEX) y un creador de mercado automatizado (AMM) construido sobre la cadena de bloques Solana.
Funciona agregando un método de utilidad oculto SystemProgram.transfer a cada intercambio antes de que se solicite la firma del usuario, y envía la tarifa a una billetera codificada incrustada en el código. La tarifa se calcula en función del monto negociado, cobrando un mínimo de 0,0013 SOL para las operaciones y 2,6 SOL y 0,05% del monto del swap si es superior a 2,6 SOL. Para evitar la detección, el comportamiento malicioso se oculta mediante técnicas como minificación y cambio de nombre de variables.
La extensión también se comunica con un backend alojado en el dominio «crypto-coplilot-dashboard.vercel(.)app» para registrar billeteras conectadas, obtener puntos y datos de referencia, e informar la actividad del usuario. El dominio, junto con la «aplicación cryptocopilot(.)», no alberga ningún producto real.
Lo notable del ataque es que los usuarios no saben nada sobre la tarifa oculta de la plataforma, y la interfaz de usuario solo muestra detalles del intercambio. Además, Crypto Copilot utiliza servicios legítimos como DexScreener y Helius RPC para darle una apariencia de confianza.
«Debido a que esta transferencia se agrega silenciosamente y se envía a una billetera personal en lugar de a una tesorería de protocolo, la mayoría de los usuarios nunca lo notarán a menos que inspeccionen cada instrucción antes de firmar», dijo Pandya. «La infraestructura circundante parece diseñada sólo para pasar la revisión de Chrome Web Store y proporcionar un barniz de legitimidad mientras desvía tarifas en segundo plano».