СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.11.2025
#ИБ

Crypto Copilot: вредоносное расширение Chrome крадёт SOL через Raydium

Недавнее исследование компании Socket обнаружило опасную технику компрометации пользователей Solana: расширение для Chrome под названием Crypto Copilot маскировалось под удобный инструмент для работы с данными из Twitter, но на самом деле внедряло скрытые переводы SOL в момент подписания свопов на Raydium.

Суть атаки

По данным Socket, расширение заявляло о помощи в обмене активов, но не уведомляло пользователей о дополнительных сборах или скрытых переводах. Механика была следующая:

  • Расширение формировало инструкции свопа для Raydium на стороне клиента.
  • После сборки транзакции вычислялась жестко закодированная «плата платформы», которая добавлялась в виде отдельной инструкции SystemProgram.transfer.
  • Пользователь подписывал транзакцию, полагая, что совершает легитимную операцию, а злоумышленник получал нераскрытую комиссию на свой кошелек.

«Crypto Copilot маскируется под инструмент, предназначенный для удобства, утверждая, что он облегчает обмен данными непосредственно из Twitter, однако скрывает свои вредоносные действия» — вывод Socket.

Почему это особенно опасно

Несколько деталей архитектуры расширения усиливают угрозу:

  • В коде найден жестко закодированный API-ключ Helius и ссылки на несколько узлов RPC, что облегчает контроль и наблюдение за действиями пользователей.
  • Хотя свопы создавались на стороне клиента, дизайн позволял оператору собирать значительную информацию о кошельках — подключенных аккаунтах и торговом поведении.
  • Наличие централизованного серверного интерфейса означало, что злоумышленник мог менять логику или ответы сервиса без обновления расширения в магазине, расширяя возможности для последующих атак.

Рекомендации для пользователей

Эксперты по безопасности рекомендуют соблюдать повышенную осторожность при работе с расширениями и при подписании транзакций в кошельках Solana:

  • Тщательно проверяйте инструкцию транзакции перед подписью — особенно на предмет неожиданных инструкций SystemProgram.transfer.
  • Избегайте использования закрытых (closed-source) торговых расширений, запрашивающих права на подпись транзакций.
  • Удалите потенциально скомпрометированные расширения (например, Crypto Copilot) и сразу перенесите активы на «чистые» независимые кошельки, которые не подключены к браузерным расширениям.
  • Устанавливайте расширения кошельков только со страниц проверенных издателей, а не с произвольных результатов поиска в Chrome Web Store.

Рекомендации для команд безопасности

Для корпоративных команд и провайдеров безопасности важны превентивные меры:

  • Используйте инструменты для анализа поведения расширений и потоков данных — это помогает выявлять манипулятивные методы формирования транзакций.
  • Блокируйте обновления и ответы сервисов, которые демонстрируют признаки злонамеренного вмешательства, до того как они затронут конечных пользователей.
  • Включите проверку на наличие жестко закодированных ключей API и подозрительных конфигураций RPC в процессе аудита расширений.

Контекст в терминах угроз

Инцидент согласуется с техниками, описанными в MITRE ATT&CK framework, включая:

  • Компрометацию цепочки поставок (supply chain compromise).
  • Злоупотребление расширениями браузера и исполнением JavaScript.
  • Использование запутанных или скрытых инструкций и непосредственная кража средств.

Вывод

Случай с Crypto Copilot — типичный пример того, как злоумышленники эксплуатируют доверие к удобным инструментам и браузерным расширениям для кражи средств. Главное правило для пользователей Solana и других блокчейн-сервисов — внимательно проверять состав транзакций и ограничивать права расширений. Для организаций — усилить мониторинг и анализ расширений, чтобы своевременно выявлять и нейтрализовать такие угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: