СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.11.2025
#ИБ

Crypto Copilot в Chrome крадет SOL через скрытые комиссии Raydium

Недавнее исследование компании Socket выявило вредоносное расширение для Chrome под названием Crypto Copilot, нацеленное на трейдеров в экосистеме Solana. На первый взгляд расширение позиционируется как удобный инструмент для обмена данными напрямую из Twitter, но на деле оно встраивает скрытые переводы при создании своп-транзакций на Raydium и перенаправляет комиссионные средства на кошелек злоумышленника.

Что именно обнаружили исследователи

Ключевые выводы отчета Socket:

  • Вредоносный механизм действует на уровне сборки транзакций в расширении: после формирования инструкций для свопа на Raydium расширение вычисляет жестко заданную плату и добавляет в транзакцию инструкцию SystemProgram.transfer, направляя незадекларированный сбор на кошелек оператора.
  • Расширение маскируется под полезный инструмент и не раскрывает наличие дополнительных сборов в своем маркетинге.
  • В коде зафиксированы жестко закодированный ключ API Helius и ссылки на несколько узлов RPC, что повышает оперативные возможности злоумышленника.
  • Хотя сборка свопа происходит на стороне клиента, архитектура обеспечивает оператору значительную информацию о поведении пользовательского кошелька: подключенные аккаунты и торговая активность.
  • Централизованный серверный интерфейс позволяет изменить логику сервиса без обновления расширения, что расширяет возможности для дальнейших атак.

Как работает атака — по шагам

  • Пользователь инициирует своп через расширение Crypto Copilot.
  • Расширение формирует стандартные инструкции обмена для Raydium.
  • Перед окончательной отправкой в транзакцию добавляется жестко заданная инструкция SystemProgram.transfer.
  • Пользователь подписывает транзакцию, полагая, что подтверждает легальную операцию свопа.
  • После подписи средства незаметно перечисляются на адрес оператора в качестве скрытой комиссии.

Почему это особенно опасно

Опасность связана не только с самой кражей средств, но и с архитектурными характеристиками расширения:

  • Жестко закодированный API Helius и множественные RPC-узлы позволяют злоумышленникам получать и обрабатывать данные вне контроля пользователя.
  • Серверная часть может динамически менять ответы и логику без обновления расширения, что делает своевременное обнаружение и блокирование более сложным.
  • Доступ к информации о подключенных аккаунтах и торговом поведении повышает риск дальнейших целевых атак.

Рекомендации для пользователей

Если вы работаете с кошельками и сидите в экосистеме Solana, выполните следующие действия:

  • Внимательно проверяйте все инструкции транзакции перед подписанием — особенно наличие неожиданных инструкций SystemProgram.transfer.
  • Избегайте установки торговых расширений с закрытым исходным кодом, которые запрашивают разрешение на подпись транзакций.
  • Удалите потенциально скомпрометированные расширения (например, Crypto Copilot) и перенесите активы на чистые, неподключенные кошельки.
  • Устанавливайте расширения кошельков только со страниц проверенных издателей, а не из случайных результатов поиска в Chrome Web Store.

Рекомендации для команд безопасности

  • Используйте инструменты анализа поведения расширений браузера и мониторинга потоков данных, чтобы выявлять манипулятивные методы и подозрительную активность.
  • Блокируйте обновления и ответы сервисов, в которых обнаружены признаки злонамеренного намерения, до того как они достигнут конечных пользователей.
  • Проверяйте расширения на наличие жестко закодированных ключей, сторонних RPC-узлов и механик, позволяющих серверу изменять логику без обновлений клиента.

Соответствие MITRE ATT&CK

Инцидент коррелирует с несколькими техниками и тактиками из MITRE ATT&CK framework, в частности:

  • Компрометация цепочки поставок (Supply Chain Compromise) — вредоносное расширение распространяется как легитимный инструмент.
  • Расширения браузера и выполнение JavaScript — механизм внедрения вредоносной логики в клиентскую среду.
  • Запутывание информации (Obfuscation) и кража денежных средств (Exfiltration / Theft) — скрытые переводы через добавленные инструкции.

Вывод

Случай с Crypto Copilot демонстрирует, насколько тонкими и опасными могут быть атаки на уровне клиента в криптовалютных экосистемах. Критически важно, чтобы пользователи и команды безопасности применяли превентивные меры: проверяли транзакции, устанавливали расширения только из проверенных источников и использовали инструменты для динамического анализа поведения расширений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: