一個Google Chrome擴展程序被發現在網頁上註入了JavaScript代碼，以從加密貨幣錢包和加密貨幣門戶網站竊取密碼和私鑰。該擴展名為  Shitcoin Wallet（Chrome擴展ID：ckkgmccefffnbbalkmbbgebbojjogffn），於12月9日啟動。據介紹，Shitcoin Wallet允許用戶管理以太（ETH）幣，也可以管理基於以太坊ERC20的代幣-通常為ICO發行的代幣（初始代幣發行）。用戶可以從瀏覽器中安裝Chrome擴展程序並管理ETH coins和ERC20 tokens；同時，如果用戶想從瀏覽器的高風險環境之外管理資金，則可以安裝Windows桌面應用。

然而，MyCrypto平台的安全總監  Harry Denley  則在近日發現了該擴展程序包含惡意代碼。

根據Denley 的說法，對用戶而言，該擴展存在有兩種風險。首先，直接在擴展內管理的任何資金（ETH coins 和基於ERC0 的代幣）都處於風險中。Denley表示，該擴展會將通過其接口創建或管理的所有錢包的私鑰發送到位於 erc20wallet[.]tk 的第三方網站。

其次，當用戶導航到五個著名和流行的加密貨幣管理平台時，該擴展還可以主動注入惡意JavaScript 代碼。此代碼將竊取登錄憑據和私鑰，將數據發送到同一 erc20wallet[.]tk 第三方網站。

根據對惡意代碼的分析，該過程如下：

• 用戶安裝Chrome 擴展程序
• Chrome擴展程序請求在77個網站上註入JavaScript（JS）代碼的權限[listed  here ]
• 當用戶導航到這77個站點中的任何一個時，擴展程序都會從以下位置加載並註入一個附加的JS文件：https://erc20wallet [.]tk/js/content_.js
• 此JS文件包含混淆的代碼[deobfuscated  here ]
• 該代碼在五個網站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和  Switcheo.exchange
• 一旦激活，惡意JS 代碼就會記錄用戶的登錄憑據，搜索存儲在五個服務的dashboards 中的私鑰，最後將數據發送到 erc20wallet[.]tk 

目前尚不清楚Shitcoin Wallet 團隊是否應對惡意代碼負責，或者Chrome 擴展是否受到第三方的破壞。

參考消息：https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/