Crypto Copilot Chrome Uzantısı, Kullanıcı Fonlarını Çalmak İçin Gizli Talimatlar İçeriyor

Güvenlik firması Socket'in Tehdit Araştırma Ekibi tarafından yapılan bir rapor, Solana kripto para birimi ticareti için tasarlanan bir Chrome tarayıcı uzantısının, alım satım işlemlerine gizli transfer talimatları yerleştirerek kullanıcılardan fon çaldığını ortaya çıkardı. Crypto Copilot adlı uzantı, kullanıcıların eski adıyla Twitter olan X üzerinden doğrudan SOL (SOL) tokenleri alıp satmalarını sağlıyor ve her işlemin bir kısmını gizlice saldırganın kontrolündeki bir cüzdana yönlendiriyor.

Uzantı aracılığıyla gerçekleştirilen her takas, işlem değerinin %0,05'ini veya minimum 0,0013 SOL'u sabit kodlu bir cüzdan adresine aktaran gizli bir talimat içeriyor. 2024 ortalarında Chrome Web Mağazası'nda yayınlanan Crypto Copilot, kendisini anında Solana ticareti için bir araç olarak pazarlıyor. Kullanıcılar, onay ekranlarında yalnızca birincil takas işlemini görüyor ve bu ekranlar, ek transfer talimatını ifşa etmeden işlemi özetliyor.

Güvenlik firmasına göre uzantı, kötü niyetli davranışı gizlemek için kod küçültme ve değişken yeniden adlandırma gibi gizleme teknikleri kullanıyor. Yazılım, bağlı cüzdanları kaydeden, kullanıcı etkinliğini izleyen ve yönlendirme verilerini bildiren crypto-coplilot-dashboard.vercel.app adresinde barındırılan bir arka uç sunucusuyla iletişim kuruyor.

Uzantı ile ilişkili ikinci bir alan adı olan cryptocopilot.app, park edilmiş ve işlevsel değil. Socket, operasyonel bir kontrol panelinin olmamasının meşru ticaret platformlarıyla tutarsız olduğunu belirtti. Crypto Copilot, takasları gerçekleştirmek için Solana blok zincirindeki otomatik bir piyasa yapıcı olan Raydium'u kullanıyor. Uzantı, her ticarete gizli bir SystemProgram.transfer talimatı ekleyerek, kullanıcılar tek bir işlem onaylarken fonları saptıran atomik zincir üstü transferleri tamamlıyor.

Kurulum sayıları düşük kalmasına rağmen, Socket, kümülatif kayıpların sık işlem yapanlar için önemli riskler oluşturduğu konusunda uyardı. Artan fon sapmaları tespit edilmeden birikebilir ve tarayıcı tabanlı kripto para birimi araçlarının oluşturduğu daha geniş güvenlik tehditlerini göstermektedir. Önceki olaylarda, MetaMask, Phantom ve Coinbase dahil olmak üzere kripto para cüzdanlarını hedefleyen kötü amaçlı Chrome ve Firefox uzantıları yer aldı.

Olay, tarayıcı tabanlı kripto para güvenliğindeki güvenlik açıklarını ve onaylamadan önce işlem doğrulamasının önemini vurguluyor. Tarayıcı tabanlı araçlar giderek kripto para alım satım işlevselliğini entegre ettikçe, merkeziyetsiz finans kullanıcılarını korumak için Chrome'un uzantı ekosisteminin geliştirilmiş izlenmesi ve denetimi gerekli olabilir.

Sonuç olarak, Solana tüccarlarının uzantı meşruluğunu doğrulamaları, işlem talimatlarını ayrıntılı olarak incelemeleri ve siber güvenlik araştırmacılarından gelen güncellemeleri izlemeleri tavsiye edilir.