Investigadores de ciberseguridad han descubierto una extensión maliciosa de Chrome que se hace pasar por una billetera Ethereum legítima pero tiene una funcionalidad para filtrar las frases iniciales de los usuarios.
El nombre de la extensión es “Safery: Ethereum Wallet” y el actor de amenazas la describe como una “billetera segura para administrar la criptomoneda Ethereum con configuraciones flexibles”. Se subió a Chrome Web Store el 29 de septiembre de 2025 y no se actualizó hasta el 12 de noviembre. Al momento de escribir este artículo, todavía está disponible para descargar.
“Se comercializa como una billetera Ethereum (ETH) simple y segura y contiene una puerta trasera que filtra frases iniciales codificándolas en direcciones Sui y enviando microtransacciones desde una billetera Sui controlada por actores de amenazas”, dijo el investigador de seguridad de Socket, Kirill Boychenko.
Específicamente, el malware incluido en el complemento del navegador está diseñado para robar frases mnemotécnicas de billetera codificándolas como direcciones de billetera Sui falsas y luego usando microtransacciones para enviar 0.000001 SUI a estas billeteras desde una billetera codificada controlada por el actor de la amenaza.
El objetivo final del malware es inyectar la frase inicial en transacciones blockchain de apariencia normal sin la necesidad de configurar un servidor de comando y control (C2) para recibir la información. Una vez que se completan las transacciones, el actor de amenazas puede descifrar las direcciones de los destinatarios para reconstruir la frase inicial original y, en última instancia, privarlos de los activos.
“Esta extensión roba frases iniciales de billetera codificándolas como direcciones Sui falsas y enviándoles microtransacciones desde una billetera controlada por el atacante. Esto permite al atacante monitorear la cadena de bloques, decodificar las direcciones nuevamente en frases iniciales y retirar los fondos de las víctimas”, señaló Koi Security en un análisis.
Para contrarrestar el riesgo que representa la amenaza, se recomienda a los usuarios que utilicen extensiones de billetera confiables. Se recomienda a los defensores escanear extensiones en busca de codificadores mnemotécnicos, generadores de direcciones sintéticas y frases iniciales codificadas, y bloquear aquellas que escriben en la cadena durante la importación o creación de billetera.
“Esta técnica permite a los actores de amenazas cambiar cadenas y puntos finales RPC con poco esfuerzo, lo que permite que las detecciones basadas en dominios, URL o ID de extensión específicas los pasen por alto”, dijo Boychenko. “Trate las llamadas RPC inesperadas de blockchain desde el navegador como una señal alta, especialmente si el producto afirma ser de cadena única”.
Actualizar
La extensión ya no está disponible para descargar desde Chrome Web Store.
About The Author
