امتداد خبيث يسرق بيانات مستخدمي “كروم” ويحقن رسوماً خفية في معاملات “سولانا”

كشف باحثو أمن سيبراني عن امتداد خبيث على متصفح جوجل كروم، يُدعى “Crypto Copilot”، يستهدف مستخدمي العملات المشفرة على شبكة سولانا. ورغم تقديمه لوظائف تداول تبدو مفيدة، إلا أن الامتداد يقوم بسرقة الأموال خلسة من المستخدمين أثناء إجراء معاملاتهم.

تم نشر الامتداد على متجر Chrome Web Store بتاريخ 18 يونيو 2024، وظل متاحاً لفترة سمحت له بسرقة مبالغ من مئات المتداولين، الذين اعتقدوا أنهم يستخدمون أداة شرعية.

امتداد خبيث يهدد متداولي سولانا

يقدم امتداد “Crypto Copilot” نفسه كحل سلس لمتداولي سولانا، حيث يتيح لهم إجراء مقايضات سريعة مباشرة من منصة X (تويتر سابقاً). كما يتصل بمحافظ العملات المشفرة الشهيرة مثل Phantom و Solflare، ويعرض بيانات الأصول في الوقت الفعلي من DexScreener، ويوجه المعاملات عبر Raydium، إحدى أكبر البورصات اللامركزية على شبكة سولانا.

وعدت المواد التسويقية للامتداد بالسرعة والراحة وإجراء المقايضات بنقرة واحدة، دون الكشف عن أي رسوم مخفية أو معاملات إضافية.

من جانبهم، حدد محللو Socket.dev السلوك الخبيث المتأصل في بنية كود الامتداد. فخلف واجهة المستخدم الجذابة، يكمن آلية متطورة لسرقة الرسوم تعمل دون علم المستخدم.

في كل مرة يقوم فيها المستخدم بإجراء مقايضة، يقوم الامتداد بإدراج تحويل غير معلن يقوم بتوجيه ما لا يقل عن 0.0013 SOL، أو 0.05% من قيمة الصفقة الإجمالية، إلى محفظة يتحكم بها المهاجم، وهي Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg730xQff7.

آلية الهجوم

تعمل هذه الطريقة عبر التلاعب بإنشاء المعاملات على مستوى البلوك تشين. فعندما يبدأ المستخدمون مقايضة، يبني الامتداد أولاً تعليمات مقايضة Raydium الشرعية.

بعد ذلك، يضيف بصمت تعليمة ثانية تحتوي على أمر SystemProgram.transfer، يقوم بنقل عملة SOL من محفظة المستخدم مباشرة إلى عنوان المهاجم.

تقوم واجهة المستخدم بعرض تفاصيل المقايضة فقط، مما يعطي انطباعاً كاذباً بالشرعية. معظم شاشات تأكيد المحفظة تعرض ملخصاً للمعاملات دون إبراز التعليمات الفردية، وبالتالي يوقع المستخدمون على ما يبدو كمعاملة واحدة، بينما يتم تنفيذ كلتا التعليمتين معاً على السلسلة.

إضافة إلى سرقة الرسوم، اكتشف باحثو Socket.dev وظائف خبيثة إضافية. يقوم الامتداد بتسريب المفاتيح العامة للمحافظ المتصلة بالمستخدمين إلى خادم خلفي على crypto[.]copilot-dashboard[.]vercel[.]app/api/users، مما تسبب في انتهاك خصوصية المستخدم.

علاوة على ذلك، تعرض بيانات اعتماد Helius RPC API المضمنة معلومات بنية تحتية حساسة، مما يزيد من تعقيد المخاطر الأمنية.

يقيم الكود الخبيث داخل ملف assets/popup.js، وهو مغلف بتشويش قوي لتجنب الكشف. لم تتغير قائمة متجر Chrome Web Store رغم هذه الاكتشافات، ولم يتم توجيه أي تحذير للمستخدمين المحتملين بشأن الرسوم المخفية أو جمع البيانات الذي يحدث في الخلفية.