La extensión de Chrome de malware siphonó secretamente tarifas de los traders de Solana durante meses

En breve

• La extensión de Chrome Crypto Copilot agrega secretamente una transferencia oculta de SOL a cada intercambio de Raydium, desviando tarifas a la billetera del atacante.
• La plataforma de seguridad Socket encontró que la extensión utiliza código ofuscado y un dominio de backend mal escrito e inactivo para ocultar su actividad.
• El robo en cadena sigue siendo pequeño hasta ahora, pero el mecanismo se escala con el tamaño del comercio, y la extensión sigue activa en la Chrome Web Store.

El centro de arte, moda y entretenimiento de Decrypt.

Descubre SCENE

Una extensión de Chrome comercializada como una herramienta de trading conveniente ha estado secretamente extrayendo SOL de los intercambios de los usuarios desde junio pasado, inyectando tarifas ocultas en cada transacción mientras se hace pasar por un asistente de trading legítimo de Solana.

La firma de ciberseguridad Socket descubrió la extensión de malware Crypto Copilot durante el “monitoreo continuo” de la Chrome Web Store, dijo el ingeniero de seguridad e investigador Kush Pandya a Decrypt.

🚨 Investigadores de sockets descubrieron una extensión maliciosa de Chrome que inyecta transferencias ocultas de #SOL en los intercambios de Raydium, siphonando silenciosamente tarifas a una billetera del atacante.

Análisis completo → #Solana

— Socket (@SocketSecurity) 25 de noviembre de 2025

En un análisis de la extensión maliciosa publicada el miércoles, Pandya escribió que Crypto Copilot agrega silenciosamente una instrucción de transferencia adicional a cada intercambio de Solana, extrayendo un mínimo de 0.0013 SOL o el 0.05% del monto de la operación a una billetera controlada por el atacante.

“Nuestro escáner de IA señaló múltiples indicadores: ofuscación de código agresiva, una dirección de Solana codificada en duro incrustada en la lógica de transacciones, y discrepancias entre la funcionalidad declarada de la extensión y el comportamiento real de la red,” dijo Pandya a Decrypt, añadiendo que “Estas alertas desencadenaron un análisis manual más profundo que confirmó el mecanismo de extracción de tarifas ocultas.”

La investigación señala riesgos en las herramientas de criptomonedas basadas en navegadores, particularmente en las extensiones que combinan la integración de redes sociales con capacidades de firma de transacciones.

Según el informe, la extensión ha permanecido disponible en la Chrome Web Store durante meses, sin advertencias a los usuarios sobre las tarifas no divulgadas enterradas en un código muy ofuscado.

“El comportamiento de las tarifas nunca se revela en la lista de la Chrome Web Store, y la lógica que lo implementa está enterrada dentro de un código altamente ofuscado,” señaló Pandya.

Cada vez que un usuario intercambia tokens, la extensión genera la instrucción de intercambio de Raydium adecuada, pero de manera discreta añade una transferencia extra dirigiendo SOL a la dirección del atacante.

Raydium es un intercambio descentralizado basado en Solana y un creador de mercado automatizado, mientras que un “intercambio de Raydium” simplemente se refiere a intercambiar un token por otro a través de sus pools de liquidez.

Los usuarios que instalaron Crypto Copilot, creyendo que agilizaría su comercio en Solana, han estado pagando sin saberlo tarifas ocultas con cada intercambio, tarifas que nunca aparecieron en los materiales de marketing de la extensión o en la lista de la Chrome Web Store.

La interfaz muestra solo los detalles del intercambio, y las ventanas emergentes de la billetera resumen la transacción, por lo que los usuarios firman lo que parece un único intercambio, aunque ambas instrucciones se ejecutan simultáneamente en la cadena.

La billetera del atacante ha recibido hasta la fecha solo pequeñas cantidades, una señal de que Crypto Copilot aún no ha llegado a muchos usuarios, más que una indicación de que la explotación es de bajo riesgo, según el informe.

El mecanismo de tarifas escala según el tamaño de la operación, ya que para intercambios inferiores a 2.6 SOL, se aplica una tarifa mínima de 0.0013 SOL, y por encima de ese umbral, entra en vigor la tarifa porcentual del 0.05%, lo que significa que un intercambio de 100 SOL extraería 0.05 SOL, aproximadamente $10 a los precios actuales.

El dominio principal de la extensión cryptocopilot[.]app está aparcado por el registro de dominios GoDaddy, mientras que el backend en crypto-coplilot-dashboard[.]vercel[.]app, notablemente mal escrito, muestra solo una página de marcador en blanco a pesar de recopilar datos de billetera, dice el informe.

Socket ha enviado una solicitud de eliminación al equipo de seguridad de Google Chrome Web Store, aunque la extensión seguía disponible en el momento de la publicación.

La plataforma ha instado a los usuarios a revisar cada instrucción antes de firmar transacciones, evitar extensiones de comercio de código cerrado que soliciten permisos de firma, y migrar activos a billeteras limpias si han instalado Crypto Copilot.

Patrones de malware

El malware sigue siendo una preocupación creciente para los usuarios de criptomonedas. En septiembre, se encontró una variante de malware llamada ModStealer que estaba apuntando a billeteras de criptomonedas en Windows, Linux y macOS a través de anuncios falsos de reclutadores de empleo, evadiendo la detección por parte de los principales motores antivirus durante casi un mes.

El CTO de Ledger, Charles Guillemet, ha advertido anteriormente que los atacantes habían comprometido una cuenta de desarrollador de NPM, con código malicioso que intentaba cambiar silenciosamente las direcciones de las carteras de criptomonedas durante las transacciones a través de múltiples blockchains.