СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.11.2025
#ИБ

Safery: вредоносное Chrome-расширение крадет BIP-39 мнемоники через Sui

Новое вредоносное расширение для Chrome, маскирующееся под Ethereum-кошелёк под названием Safery, предназначено для кражи начальных фраз пользователей и последующего полного захвата их криптокошельков. Злоумышленники используют вводящую в заблуждение рекламу и технически изощрённый канал эксфильтрации данных через Sui, чтобы скрыть похищенные данные под видом легитимных адресов.

Суть атаки

Safery позиционирует себя как удобный и безопасный инструмент для работы с Ethereum, делая заявления о конфиденциальности и локальном хранении ключей. Однако на практике расширение перехватывает мнемонические фразы (BIP-39) и отправляет их злоумышленникам, маскируя передачу в виде корректных Sui-адресов.

«Закрытые ключи надежно хранятся на их устройствах и никакие пользовательские данные не собираются»

Эта цитата — типичный приманивающий лозунг, используемый в рекламе расширения; фактическая цель — получение полного контроля над кошельками жертв.

Технический механизм эксфильтрации

Атака использует следующий алгоритм преобразования мнемоники в скрытую полезную нагрузку:

  • После получения мнемонической фразы (BIP-39) модуль загружает стандартный словарь BIP-39 и считает числовые индексы слов.
  • Индексы упаковываются в шестнадцатеричную строку и кодируются в один или два hex-адреса в стиле Sui.
  • Для имитации валидного адреса вредоносное расширение добавляет отступы/паддинг так, чтобы итоговая длина соответствовала ожидаемым 64 символам, что маскирует исходную фразу под законный адрес Sui.
  • Сформированные адреса используются как скрытый канал передачи — по внешним признакам это выглядят обычные Sui-транзакции или обращения к Web-сервисам, но на самом деле служат для эксфильтрации мнемоники.

Классификация по MITRE ATT&CK

По моделям MITRE ATT&CK атака сочетает несколько техник и тактик:

  • Supply Chain Compromise (T1195.002) — компрометация цепочки поставок через вредоносное расширение.
  • Browser Extensions (T1176.001) — использование расширения браузера как вектора атаки.
  • User Execution (T1204) — требование действий со стороны пользователя (установка расширения, ввод фразы).
  • Command and Scripting Interpreter: JavaScript (T1059.007) — манипуляции через JavaScript в контексте браузера.
  • Exfiltration over Web Service (T1567) — использование веб-сервисов / транзакций для вывода данных наружу.
  • Credentials In Vault (Private keys) (T1552.004) — компрометация незащищённых учетных данных, в данном случае — Private keys.
  • Data Theft / Theft of Funds (T1657) — итоговая цель — кража средств.

Риски для пользователей

  • Полный захват кошелька: похищенная мнемоническая фраза даёт злоумышленникам доступ ко всем средствам и управляющим функциям кошелька.
  • Сложность обнаружения: эксфильтрация замаскирована под легитимные Sui-адреса и транзакции.
  • Широкое распространение угрозы: пользователи часто доверяют новому ПО из store, особенно если оно красиво рекламируется и содержит положительные отзывы.

Рекомендации по защите

Эксперты по кибербезопасности рекомендуют следующие меры для минимизации риска:

  • Немедленно удалить расширение Safery, если оно установлено.
  • Никогда не вводить мнемонические фразы (BIP-39) в расширения браузера или в веб-формы — вводить их можно только в проверенных кошельках, предпочтительно hardware wallets.
  • При подозрении на компрометацию переместите средства на новый кошелёк, созданный в безопасной среде (новая машина или hardware wallet). Мнемонику нельзя «переиздать», поэтому действовать нужно быстро.
  • Устанавливайте расширения только из официальных источников и проверяйте издателя, репутацию, исходный код (если доступен) и отзывы.
  • Используйте аппаратные кошельки (hardware wallets) для хранения значительных сумм и двухфакторную аутентификацию там, где это возможно.
  • Организациям: внедрить политику управления расширениями, отключить возможность установки дополнительного ПО пользователями и проводить регулярный аудит установленных расширений.

Вывод

Случай Safery демонстрирует, насколько изощрёнными могут быть современные фишинговые и supply‑chain атаки в криптосфере: злоумышленники не только обманывают пользователей маркетинговыми обещаниями, но и применяют нестандартные каналы (Sui-транзакции) для скрытой эксфильтрации мнемоник. Это подчёркивает необходимость повышенной бдительности при установке расширений и соблюдения базовых практик безопасности при работе с криптовалютами — особенно когда речь идёт о хранении Private keys и мнемонических фразах (BIP-39).

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: