今日运势评分

4

本月运势

癸未月

震荡偏多

辛生水,丑克水
庚不经络织机虚张
子不问卜自惹祸殃

祭祀,祈福,解除,整手足甲,安床,沐浴,入殓,移柩,破土,启钻,安葬,谢土

嫁娶,斋醮,开市,出火,入宅,移徙,出行,作灶,安门,伐木

月相

冲顶回落

日冲

Powered by RitMEX

TRUMP9.23 0.33%

SUI3.77 1.02%

TON3.52 4.58%

TRX0.33 0.60%

DOGE0.22 0.99%

XRP3.11 0.73%

SOL177.89 0.07%

BNB794.89 1.58%

ETH3806.02 0.89%

BTC118281.19 0.64%

ETH Gas4.73 Gwei

贪婪
74

披着羊皮的狼:虚假 Chrome 扩展盗窃分析

在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的。

撰文:山、Thinking,慢雾安全团队

背景

2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:

(https://x.com/doomxbt/status/1763237654965920175)

一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。

分析

首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。

下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。

静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:

我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)

在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:

我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:

至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。

我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及域名:aggrtrade-extension[.]com

解析上图的域名信息:

.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。

攻击时间线:

分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:

4 个月前,黑客部署攻击:

根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是 aggrdev@gmail.com。

部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。

下图是 AggrTrade 的官方提醒:

总结

慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者慢雾科技@SlowMist_Team
相关文章
2025.07.31 - 8 分钟前
Camp Network 创始人:AI 版权危机爆发,区块链能否成为创作者的救命稻草?
有创造力的未来并非一定是一场零和博弈,我们可以实现双赢。
2025.07.31 - 3 小时前
项目方必读:跟着释永信学如何通过群体心智做市场?
只要你前期建立了清晰的心智锚点,并在 TGE 后持续兑现,市场是会给你时间和空间的。
2025.07.31 - 4 小时前
Strategy 再度官司缠身:会计准则缘何造成大麻烦?
要求 Strategy 公司及其部分高级管理人员就涉嫌在比特币投资盈利数据和会计标准方面的证券欺诈行为承担法律责任,并追索由此造成的投资损失。
2025.07.31 - 4 小时前
以太坊十周年:7 大维度揭秘为何 ETH 涨势才刚开始?
分析近期ETH大幅上涨背后的关键驱动力。
2025.07.31 - 4 小时前
以太坊的下一个十年:技术革新与未解难题
在第二个十年的开端,以太坊的「成年礼」可不容易。
2025.07.31 - 4 小时前
SEC 新标准公布,现货 ETF 获批潮即将上演?
Coinbase 或成最大赢家。
2025.07.31 - 5 小时前
火币成长学院|加密市场宏观研报:“币股策略”激活市场热度,开启行业新周期
币股策略只是序章,更深刻的资本整合与治理模式演化,才刚刚开始。
2025.07.31 - 5 小时前
重演 1929:比特币财库公司与投资信托的历史轮回
杠杆、溢价、反身性,百年过去金融本质未变。
2025.07.31 - 5 小时前
为什么“美联储不降息”反而对美股与加密市场长期更有利?
这是一场资产逻辑的重估,而非宏观放水的轮回。
2025.07.31 - 6 小时前
解读白宫数字资产报告:加密货币“监管圣经”,拥抱 DeFi 和创新金融产品
这份“圣经”或许为未来的加密监管搭建了框架。