Ekstensi Chrome Malware Diam-Diam Menyedot Biaya Dari Pedagang Solana Selama Beberapa Bulan

Singkatnya

• Ekstensi Chrome Crypto Copilot secara diam-diam menambahkan transfer SOL tersembunyi ke setiap swap Raydium, menyedot biaya ke dompet penyerang.
• Platform keamanan Socket menemukan bahwa ekstensi tersebut menggunakan kode yang disamarkan dan domain backend yang salah eja serta tidak aktif untuk menyembunyikan aktivitasnya.
• Pencurian on-chain masih kecil sejauh ini, tetapi mekanismenya skala dengan ukuran perdagangan, dan ekstensi masih tersedia di Chrome Web Store.

Pusat Seni, Mode, dan Hiburan Decrypt.

Temukan SCENE

Sebuah ekstensi Chrome yang dipasarkan sebagai alat perdagangan yang nyaman telah secara diam-diam menyedot SOL dari swap pengguna sejak bulan Juni lalu, menyuntikkan biaya tersembunyi ke dalam setiap transaksi sambil menyamar sebagai asisten perdagangan Solana yang sah.

Perusahaan keamanan siber Socket menemukan ekstensi malware Crypto Copilot selama “pemantauan berkelanjutan” di Chrome Web Store, kata insinyur keamanan dan peneliti Kush Pandya kepada Decrypt.

🚨 Peneliti socket menemukan ekstensi Chrome berbahaya yang menyuntikkan transfer #SOL tersembunyi ke dalam pertukaran Raydium, secara diam-diam menyedot biaya ke dompet penyerang.

Analisis lengkap → #Solana

— Socket (@SocketSecurity) 25 November 2025

<br>

Dalam analisis ekstensi jahat yang diterbitkan Rabu, Pandya menulis bahwa Crypto Copilot secara diam-diam menambahkan instruksi transfer ekstra ke setiap swap Solana, mengekstrak minimum 0.0013 SOL atau 0.05% dari jumlah perdagangan ke dompet yang dikendalikan penyerang.

“Pemindai AI kami menandai beberapa indikator: obfuscation kode yang agresif, alamat Solana yang terhardcode tersemat dalam logika transaksi, dan ketidaksesuaian antara fungsionalitas yang dinyatakan oleh ekstensi dan perilaku jaringan yang sebenarnya,” kata Pandya kepada Decrypt, menambahkan bahwa “Peringatan ini memicu analisis manual yang lebih dalam yang mengkonfirmasi mekanisme ekstraksi biaya tersembunyi.”

Penelitian menunjukkan risiko dalam alat crypto berbasis browser, khususnya ekstensi yang menggabungkan integrasi media sosial dengan kemampuan penandatanganan transaksi.

Laporan tersebut menyebutkan bahwa ekstensi tersebut telah tersedia di Chrome Web Store selama berbulan-bulan, tanpa peringatan kepada pengguna tentang biaya yang tidak diungkapkan yang tersembunyi dalam kode yang sangat disamarkan.

“Perilaku biaya tidak pernah diungkapkan di daftar Chrome Web Store, dan logika yang mengimplementasikannya terkubur di dalam kode yang sangat tersembunyi,” kata Pandya.

Setiap kali pengguna menukar token, ekstensi menghasilkan instruksi swap Raydium yang sesuai tetapi dengan diam-diam menambahkan transfer ekstra yang mengarahkan SOL ke alamat penyerang.

Raydium adalah pertukaran terdesentralisasi berbasis Solana dan pembuat pasar otomatis, sedangkan “Raydium swap” hanya merujuk pada menukar satu token dengan token lain melalui kolam likuiditasnya.

Pengguna yang menginstal Crypto Copilot, percaya bahwa itu akan mempermudah perdagangan Solana mereka, secara tidak sadar telah membayar biaya tersembunyi dengan setiap pertukaran, biaya yang tidak pernah muncul di materi pemasaran ekstensi atau daftar Chrome Web Store.

Antarmuka hanya menunjukkan rincian pertukaran, dan pop-up dompet merangkum transaksi, sehingga pengguna menandatangani apa yang terlihat seperti satu pertukaran meskipun kedua instruksi dieksekusi secara bersamaan di on-chain.

Dompet penyerang hanya telah menerima jumlah kecil hingga saat ini, tanda bahwa Crypto Copilot belum menjangkau banyak pengguna, bukan indikasi bahwa eksploitasi tersebut berisiko rendah, sesuai laporan.

Mekanisme biaya meningkat seiring dengan ukuran perdagangan, karena untuk pertukaran di bawah 2,6 SOL, biaya minimum 0,0013 SOL berlaku, dan di atas ambang itu, biaya persentase 0,05% mulai berlaku, yang berarti pertukaran 100 SOL akan memotong 0,05 SOL, kira-kira $10 pada harga saat ini.

Domain utama ekstensi cryptocopilot[.]app diparkir oleh pendaftar domain GoDaddy, sementara backend di crypto-coplilot-dashboard[.]vercel[.]app, yang jelas salah eja, hanya menampilkan halaman tempat kosong meskipun mengumpulkan data dompet, laporannya mengatakan.

Socket telah mengajukan permohonan penghapusan kepada tim keamanan Chrome Web Store milik Google, meskipun ekstensi tersebut tetap tersedia pada saat publikasi.

Platform telah mendesak pengguna untuk meninjau setiap instruksi sebelum menandatangani transaksi, menghindari ekstensi perdagangan sumber tertutup yang meminta izin tanda tangan, dan memigrasi aset ke dompet bersih jika mereka menginstal Crypto Copilot.

Pola malware

Malware tetap menjadi perhatian yang terus berkembang bagi pengguna crypto. Pada bulan September, sebuah strain malware bernama ModStealer ditemukan menargetkan dompet crypto di Windows, Linux, dan macOS melalui iklan perekrut pekerjaan palsu, menghindari deteksi oleh mesin antivirus utama selama hampir sebulan.

CTO Ledger Charles Guillemet sebelumnya telah memperingatkan bahwa penyerang telah mengkompromikan akun pengembang NPM, dengan kode jahat yang mencoba secara diam-diam menukar alamat dompet kripto selama transaksi di berbagai blockchain.