Специалисты по кибербезопасности из компании Socket обнаружили вредоносное расширение для браузера Chrome под названием Crypto Copilot, которое предлагает пользователям оперативную информацию о крипторынке и инструменты для торговли криптовалютой в социальной сети X (заблокирована в РФ), обещая удобное выполнение сделок.
На самом деле расширение вмешивается в процесс проведения своп-транзакций на децентрализованной бирже Raydium. Во время каждой операции обмена дополнительно добавляется скрытая инструкция на перевод части средств на кошелек злоумышленников. Код расширения замаскирован с помощью минификации и переименования переменных, что значительно затрудняет его анализ.
В платеже скрывается незначительная на первый взгляд сумма в SOL, но не менее 0.05 процента от размера сделки. Пользователь не видит этого перевода, так как он встраивается в подпись транзакции без какого-либо уведомления владельца.
Исследователь Kush Pandya из Socket отметил, что переводы направляются на личный кошелек, что делает их почти незаметными без ручной проверки каждой инструкции перед подписанием.