窃取加密钱包私钥！谷歌 Chrome扩展程序被发现包含恶意代码

　　日前有报道称，一个名字叫“Shitcoin WalletGoogle Chrome扩展程序最近被发现在网页上注入JavaScript代码，从加密货币钱包和加密货币门户网站窃取密码和私钥。扩展的Chrome扩展ID为“ckkgmccefffnbbalkmbbgebbojjogffn”，并于12月9日开始！让我们来看看。

　　据悉，hitcoin Wallet允许用户管理以太管理（ETH）货币也可以管理基于以太坊ERC20的代币—通常是ICO发行的代币(初始代币发行)。用户可以从浏览器中安装Chrome扩展程序，并管理ETHHE coins 和 ERC20 tokens；同时，如果用户想在浏览器的高风险环境之外管理资金，可以安装Windows桌面应用程序。

　　然而，MyCrypto平台的安全总监 Harry Denley 最近发现扩展程序包含恶意代码。

　　根据Denley的说法，对于用户来说，扩展有两个风险。首先，任何直接在扩展内管理的资金（ETH coins 以及基于ERC0的代币)都处于风险之中。Denley表示，扩展将通过其界面创建或管理所有钱包的私钥发送到位 erc20walet［。］tk 第三方网站。

　　其次，当用户导航到五个著名和流行的加密货币管理平台时，扩展还可以主动注入恶意JavaScript代码。该代码窃取登录凭证和私钥，并将数据发送到相同的位置 erc20walet［。］tk 第三方网站。

　　根据对恶意代码的分析，过程如下：

　　●用户安装Chrome扩展程序

　　●Chrome扩展程序请求在77个网站上注入JavaScriptt（JS）代码的权限［listed here］

　　●当用户导航到77个站点中的任何一个时，扩展程序将从以下位置加载并注入额外的JS文件：https:///erc20wallet［。］tk/js/content_.js此

　　●JS文件包含混淆代码［deobfuscated here］

　　●该代码在五个网站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和 Switcheo.exchange

　　●一旦激活，恶意JS代码将记录用户的登录凭证，搜索存储在五项服务中的dashboards 中间的私钥，最后将数据发送到 erc20walet［。］tk

　　至于Shitcoin 目前还不清楚Wallet团队是负责恶意代码还是Chrome扩展是否被第三方破坏！我们将继续关注此事的后续进展。