Чаевые для хакера. В Chrome нашли расширение, которое молча дописывало свой процент к вашим онлайн-переводам

leer en español

Crypto Copilot Chrome Web Store Solana Raydium Socket вредоносное расширение кража криптовалюты
Чаевые для хакера. В Chrome нашли расширение, которое молча дописывало свой процент к вашим онлайн-переводам
Crypto Copilot Chrome Web Store Solana Raydium Socket вредоносное расширение кража криптовалюты

Вы даже не заметили, как стали добровольным спонсором чужой безбедной жизни.

image

В каталоге расширений Chrome обнаружено вредоносное дополнение, которое незаметно для владельцев криптоактивов добавляет скрытую комиссию при операциях с Solana и отправляет её на кошелёк злоумышленников. Под удар попадают пользователи, совершающие обмены через децентрализованную биржу Raydium.

Расширение под названием Crypto Copilot появилось в Chrome Web Store 7 мая 2024 года. Автором значится пользователь под ником «sjclark76». Описание обещает возможность торговать криптовалютой непосредственно в X с «оперативной аналитикой» и «удобным исполнением сделок». По данным на момент обнаружения проблемы, у дополнения 12 установок, при этом оно всё ещё доступно для загрузки.

Специалисты компании Socket установили, что за интерфейсом, имитирующим легитимный торговый инструмент, скрывается механизм дополнительного перевода в каждой операции обмена Solana. При совершении Raydium swap расширение дописывает в формируемую транзакцию вызов служебного метода SystemProgram.transfer, из-за чего в подписываемый пакет попадает ещё один перевод SOL на жёстко прописанный адрес, контролируемый злоумышленниками.

Размер комиссии рассчитывается автоматически исходя из суммы сделки. Минимум удерживается 0,0013 SOL, а при объёмах свыше 2,6 SOL прописывается перевод на 2,6 SOL и дополнительно 0,05% от суммы обмена. В интерфейсе расширения эта комиссия никак не отражается — пользователю показываются только параметры основной операции на Raydium, что делает подмену малозаметной без детального анализа каждой инструкции перед подписью.

Для сокрытия логики дополнение использует обфускацию кода, в том числе минификацию и переименование переменных. Параллельно расширение взаимодействует с серверной частью на домене «crypto-coplilot-dashboard.vercel[.]app», куда передаются данные о подключённых кошельках, реферальной активности и накопленных «очках». Связанный домен «cryptocopilot[.]app», как отмечают специалисты, не содержит полноценного продукта и служит лишь для создания видимости реального сервиса.

Дополнительную правдоподобность Crypto Copilot обеспечивает интеграция с легитимными площадками вроде DexScreener и Helius RPC. В совокупности инфраструктура проекта выстроена так, чтобы пройти модерацию Chrome Web Store и выглядеть законным инструментом для работы с криптовалютами, одновременно незаметно перехватывая часть средств пользователей в пользу автора расширения.

Инцидент с Crypto Copilot показывает, что даже незаметное на первый взгляд расширение способно превратить привычные операции в источник скрытых потерь. Любой инструмент, который получает доступ к кошелькам и транзакциям, требует осторожности, а доверие к витрине магазина браузера уже не может быть единственной опорой безопасности.