Investigadores de ciberseguridad han descubierto una extensión maliciosa de Chrome que tiene la capacidad de robar frases iniciales de los usuarios haciéndose pasar por una billetera Ethereum legítima.
La extensión se llama «Safery: Ethereum Wallet» y los atacantes la describen como «una billetera segura para administrar su criptomoneda Ethereum con configuraciones flexibles». Se subió a Chrome Web Store el 29 de septiembre de 2025 y se actualizó el 12 de noviembre de 2025. Todavía está disponible para descargar al momento de escribir este artículo.
«Aunque se comercializa como una billetera Ethereum (ETH) simple y segura, contiene una puerta trasera que roba la frase inicial codificándola en una dirección Sui y transmitiendo microtransacciones desde la billetera Sui controlada por el actor de amenazas», dijo el investigador de seguridad de socket Kirill Boychenko.
Específicamente, el malware presente en el complemento del navegador está diseñado para robar la frase mnemotécnica de la billetera codificándola como una dirección de billetera Sui falsa y usando microtransacciones para enviar 0.000001 SUI desde una billetera codificada controlada por un actor de amenazas a la billetera.
El objetivo final del malware es contrabandear frases iniciales en transacciones blockchain de apariencia normal sin configurar un servidor de comando y control (C2) para recibir la información. Una vez que se completa la transacción, los actores de amenazas pueden decodificar la dirección del destinatario para reconstruir la frase inicial original y, en última instancia, exfiltrar los activos desde allí.
«La extensión roba la frase inicial de la billetera codificándola como una dirección Sui falsa y enviando microtransacciones desde una billetera controlada por el atacante, lo que le permite monitorear la cadena de bloques, decodificar la dirección a la frase inicial y exfiltrar los fondos de la víctima», señaló Koi Security en su análisis.
Para contrarrestar los riesgos que plantea esta amenaza, se recomienda a los usuarios que utilicen extensiones de billetera confiables. Se anima a los defensores a buscar codificadores mnemotécnicos, generadores de direcciones sintéticas y extensiones de frases iniciales codificadas y bloquearlos para que no escriban en la cadena durante la importación o creación de la billetera.
«Al utilizar esta técnica, los atacantes pueden cambiar cadenas y puntos finales RPC con poco esfuerzo, por lo que se pasan por alto las detecciones que dependen de dominios, URL o ID de extensión específicas», dijo Boichenko. «Trate las llamadas RPC inesperadas de blockchain desde los navegadores como una señal alta, especialmente si su producto dice ser de cadena única».
Source link
