Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch tấn công mạng chuỗi cung ứng tinh vi, ngụy trang dưới dạng ví tiền điện tử hợp pháp. Đội ngũ nghiên cứu mối đe dọa của Socket đã tìm thấy một tiện ích mở rộng Chrome độc hại có tên “Safery: Ethereum Wallet”, được phát hành trên Chrome Web Store vào ngày 12 tháng 11 năm 2024. Tiện ích này sử dụng một kỹ thuật độc đáo để đánh cắp các cụm từ hạt giống (seed phrase) của người dùng thông qua các giao dịch blockchain ẩn.

Tiện ích mở rộng độc hại “Safery: Ethereum Wallet”

Tiện ích mở rộng này, có ID là fibemlnkopkeenmmgcfohhcdbkhgbolo, được quảng cáo là một ví Ethereum an toàn và dễ sử dụng, cung cấp các giao dịch nhanh chóng chỉ với hai cú nhấp chuột và quản lý số dư dễ dàng.

Tuy nhiên, ẩn sau vẻ ngoài vô hại này là một backdoor phức tạp được thiết kế để đánh cắp seed phrase. Kỹ thuật này bao gồm việc mã hóa seed phrase thành các địa chỉ Sui blockchain và phát sóng các giao dịch vi mô (microtransaction) từ một ví do kẻ tấn công kiểm soát.

Kỹ thuật Đánh cắp Seed Phrase Qua Giao dịch Blockchain

Mã hóa BIP-39 Mnemonic

Khi người dùng tạo hoặc nhập ví, tiện ích mở rộng độc hại sẽ mã hóa chuỗi mnemonic BIP-39 của họ thành một hoặc hai địa chỉ theo kiểu Sui tổng hợp. Chuỗi mnemonic này là một tập hợp các từ đại diện cho khóa riêng của ví.

Exfiltration thông qua Microtransaction

Tiện ích mở rộng sau đó gửi một lượng nhỏ 0.000001 SUI đến các địa chỉ đã mã hóa này, sử dụng một chuỗi mnemonic của kẻ tấn công được mã hóa cứng. Bằng cách giải mã các địa chỉ nhận giao dịch, kẻ tấn công có thể tái tạo lại seed phrase gốc mà không cần đến cơ sở hạ tầng lệnh và kiểm soát (C2) truyền thống.

Cách tiếp cận này giúp ẩn quá trình exfiltration dữ liệu trong các giao dịch blockchain có vẻ hợp pháp, làm cho việc phát hiện thông qua các phương pháp giám sát thông thường trở nên gần như không thể.

Triển khai Kỹ thuật Tinh vi

Việc triển khai kỹ thuật của tiện ích mở rộng này rất tinh vi. Nó tải danh sách từ BIP-39 tiêu chuẩn, ánh xạ mỗi từ tới chỉ mục số của nó, và đóng gói các chỉ mục này vào một chuỗi thập lục phân có tiền tố “0x” để trông giống như một địa chỉ Sui hợp lệ.

Phần mềm độc hại không bao giờ hiển thị số dư Sui hoặc nhắc nhở các hành động liên quan đến Sui. Các chức năng này chỉ tồn tại để chuyển đổi seed phrase thành dữ liệu tương thích với blockchain, trông vô hại đối với các quan sát viên bên ngoài. Đây là một phương thức che giấu hành vi rò rỉ dữ liệu cực kỳ hiệu quả.

Cơ chế Ngụy trang và Tấn công

Vị trí Nổi bật trên Chrome Web Store

Vẻ ngoài lừa dối của tiện ích mở rộng này làm tăng mức độ nghiêm trọng của mối đe dọa. Khi tìm kiếm “Ethereum Wallet” trên Chrome Web Store, “Safery” xuất hiện ở vị trí thứ tư, bên cạnh các ví hợp pháp như MetaMask và Enkrypt.

Vị trí nổi bật này mang lại cho tiện ích mở rộng độc hại một lớp vỏ bọc hợp pháp ngay lập tức đối với những người dùng không nghi ngờ, làm tăng đáng kể tỷ lệ cài đặt trước khi có bất kỳ đánh giá bảo mật hoặc yêu cầu gỡ bỏ nào được thực hiện.

Chính sách Bảo mật Sai lệch

Thông báo bảo mật của nhà phát triển tuyên bố sai rằng không có dữ liệu người dùng nào được thu thập và các khóa riêng tư vẫn nằm trên thiết bị. Những đảm bảo này mâu thuẫn trực tiếp với chức năng thực tế của tiện ích mở rộng.

Hình ảnh quảng cáo hứa hẹn “Easy, Fast And Secure Extension” và “Send Ethereum ETH Coin In 2 Clicks Easy And Safe”, càng củng cố thêm sự lừa dối. Toàn bộ chuỗi tấn công mạng diễn ra một cách liền mạch.

Kiểm soát hoàn toàn ví sau khi đánh cắp

Mỗi địa chỉ nhận giao dịch đều mã hóa toàn bộ chuỗi mnemonic của nạn nhân. Sử dụng bộ giải mã được nhúng, kẻ tấn công tái tạo lại seed phrase từng từ một mà không cần bất kỳ máy chủ C2 tập trung nào hoặc truyền tải HTTP dạng văn bản thuần túy.

Với chuỗi mnemonic đã phục hồi, kẻ tấn công có quyền kiểm soát hoàn toàn tất cả các ví được tạo ra từ seed phrase đó và có thể rút tài sản về địa chỉ của chúng. Seed phrase không bao giờ truyền qua HTTP dạng văn bản thuần túy, khiến việc phát hiện cực kỳ khó khăn, đây là một điểm yếu trong bảo mật mạng truyền thống.

Trạng thái và Phân tích

Tại thời điểm báo cáo, tiện ích mở rộng này vẫn còn hoạt động trên Chrome Web Store. Socket đã gửi yêu cầu gỡ bỏ tới đội ngũ bảo mật của Google Chrome Web Store, yêu cầu tạm ngừng tài khoản nhà phát hành.

Phân tích của Socket AI Scanner đã gắn cờ tiện ích mở rộng này là phần mềm độc hại đã biết, với các quyền Chrome được nâng cao, khả năng thực thi mã động và truy cập mạng ra ngoài. Để biết thêm chi tiết kỹ thuật về phát hiện này, bạn có thể tham khảo báo cáo của Socket tại đây.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Đối với Tổ chức và Quản trị viên IT

• Coi các lệnh gọi RPC blockchain không mong muốn từ trình duyệt là các chỉ số rủi ro cao.
• Thực thi danh sách cho phép (allowlist) của Chrome Enterprise để chỉ cho phép cài đặt các tiện ích mở rộng đã được phê duyệt.
• Hạn chế cài đặt chỉ cho các ID tiện ích mở rộng đã được chấp thuận.

Đối với Người dùng Cá nhân

• Chỉ cài đặt ví từ các trang nhà phát hành đã được xác minh.
• Ưu tiên sử dụng các tùy chọn ví đã có uy tín như MetaMask hoặc Phantom, với lịch sử bảo mật đã được kiểm chứng.

Sự cố này chứng minh rằng việc đánh cắp seed phrase có thể được che giấu hoàn toàn trong lưu lượng truy cập blockchain công khai, khiến các phương pháp phát hiện truyền thống trở nên kém hiệu quả trong việc chống lại các tấn công mạng phức tạp. Nâng cao nhận thức về an toàn thông tin là điều cần thiết để bảo vệ tài sản số.