今日运势评分

-1

本月运势

癸未月

震荡偏多

癸水助财,未害子
壬不泱水更难提防
午不苫盖屋主更张

祭祀,入殓,破土,除服,成服,移柩,启钻,安葬,谢土,馀事勿取

月相

居待

底部反弹

日冲

Powered by RitMEX

TRUMP9.57 -3.47%

SUI3.41 -0.98%

TON3.01 0.17%

TRX0.30 -0.93%

DOGE0.20 -3.41%

XRP2.77 -1.50%

SOL160.97 -1.48%

BNB687.29 -0.98%

ETH2950.27 -0.51%

BTC117642.15 -0.15%

ETH Gas0.39 Gwei

贪婪
79

披着羊皮的狼:虚假 Chrome 扩展盗窃分析

在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的。

撰文:山、Thinking,慢雾安全团队

背景

2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:

(https://x.com/doomxbt/status/1763237654965920175)

一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。

分析

首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。

下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。

静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:

我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)

在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:

我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:

至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。

我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及域名:aggrtrade-extension[.]com

解析上图的域名信息:

.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。

攻击时间线:

分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:

4 个月前,黑客部署攻击:

根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是 aggrdev@gmail.com。

部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。

下图是 AggrTrade 的官方提醒:

总结

慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者慢雾科技@SlowMist_Team
相关文章
2025.07.11 - 前天
国家金融与发展实验室副主任:人民币稳定币发展模式可“内外结合”
为了更好地实现战略统筹、主动监管、协同推进,应该考虑采取境内离岸与境外离岸人民币稳定币的联动发展模式。
2025.07.11 - 前天
数字稳定币洗钱与恐怖融资初探:对 USDT 黑名单的链上追踪
只有在及时、协同、技术成熟的 AML/CFT 体系下,稳定币生态系统的合法性和安全性才能得到真正保障。
2025.07.11 - 前天
图表解析比特币:后市将如何演绎?
机构采用仍是核心驱动力。
2025.07.11 - 前天
实探稳定币在华强北:5 万个币起收,有灰色地带
仅有个别商家表示会使用或尝试使用稳定币进行交易。
2025.07.11 - 前天
以太坊基金会变革开始,能否助 ETH 币价重回巅峰?
以太坊的未来,基金会来当「舵手」。
2025.07.11 - 前天
上海信号:在「一国两制」下解读中国加密货币新棋局
7 月 10 日,上海国资委召开学习会,探讨加密货币与稳定币发展战略,引发比特币价格飙升。
2025.07.11 - 前天
数据:全球企业今年累计购置超 72 万枚比特币
‍企业持有的比特币总量约占比特币总供应量的 3.6%。
2025.07.11 - 前天
Vitalik 眼中的「AI 2027」:超级 AI 真的会毁灭人类吗?
无论未来 5-10 年 AI 如何发展,承认 「降低世界脆弱性是可行的」 并投入更多精力,用人类最新技术实现这一目标,都是值得尝试的道路。
2025.07.11 - 前天
私募股权融资成风,4 家加密储备公司或面临股票下行压力
等待足够的流动性和市场价格效率形成后再入场,否则就是在玩一场只适合机构和对冲基金的危险游戏。
2025.07.11 - 前天
流动性周期改道,你的资产跟上了吗?
我们还没到激增阶段。