Расширение Chrome с вредоносным ПО тайно вымогало сборы у трейдеров Solana в течение нескольких месяцев

В кратце

• Расширение Chrome Crypto Copilot тайно добавляет скрытую передачу SOL к каждому обмену Raydium, перекачивая сборы в кошелек злоумышленника.
• Платформа безопасности Socket обнаружила, что расширение использует обфусцированный код и неправильно написанный, неактивный домен бэкенда для маскировки своей деятельности.
• Кража в блокчейне на данный момент остается небольшой, но механизм масштабируется с размером торговли, и расширение все еще доступно в Chrome Web Store.

Центр искусства, моды и развлечений Decrypt.

Откройте SCENE

Расширение Chrome, рекламируемое как удобный торговый инструмент, с июня прошлого года тайно откачивало SOL из обменов пользователей, добавляя скрытые сборы к каждой транзакции, притворяясь законным торговым помощником Solana.

Кибербезопасная компания Socket обнаружила вредоносное расширение Crypto Copilot во время “непрерывного мониторинга” магазина Chrome, сообщил инженер по безопасности и исследователь Куш Пандья издания Decrypt.

🚨 Исследователи по сокетам обнаружили вредоносное расширение Chrome, которое внедряет скрытые #SOL переводы в обмены Raydium, тихо выкачивая комиссии на кошелек злоумышленника.

Полный анализ → #Solana

— Сокет (@SocketSecurity) 25 ноября 2025 года

<br>

В анализе вредоносного расширения, опубликованном в среду, Пандья написал, что Crypto Copilot тихо добавляет дополнительную инструкцию на перевод к каждой своп-операции Solana, извлекая минимум 0.0013 SOL или 0.05% от суммы сделки в кошелек, контролируемый злоумышленником.

“Наш ИИ-сканер отметил несколько индикаторов: агрессивное замедление кода, жестко закодированный адрес Solana, встроенный в логику транзакций, и несоответствия между заявленной функциональностью расширения и фактическим поведением сети,” сказал Пандья из Decrypt, добавив, что “эти предупреждения вызвали более глубокий ручной анализ, который подтвердил механизм скрытого извлечения сборов.”

Исследование указывает на риски, связанные с криптоинструментами на основе браузера, особенно на расширениях, которые объединяют интеграцию социальных медиа с возможностями подписания транзакций.

Согласно отчету, расширение оставалось доступным в интернет-магазине Chrome в течение нескольких месяцев, без предупреждений для пользователей о скрытых сборах, зарытых в сильно зашифрованном коде.

“Поведение комиссии никогда не раскрывается в списке Chrome Web Store, а логика ее реализации скрыта внутри сильно обфусцированного кода,” отметил Пандья.

Каждый раз, когда пользователь обменивает токены, расширение генерирует правильную инструкцию обмена Raydium, но незаметно добавляет дополнительный перевод, направляющий SOL на адрес злоумышленника.

Raydium — это децентрализованная биржа и автоматизированный маркет-мейкер на базе Solana, в то время как «Raydium swap» просто обозначает обмен одного токена на другой через его ликвидные пулы.

Пользователи, установившие Crypto Copilot, веря, что это упростит их торговлю Solana, незаметно платили скрытые комиссии за каждую обмен, комиссии, которые никогда не упоминались в маркетинговых материалах расширения или в списке Chrome Web Store.

Интерфейс показывает только детали обмена, а всплывающие окна кошелька обобщают транзакцию, поэтому пользователи подписывают то, что выглядит как единый обмен, хотя оба инструкции выполняются одновременно в сети.

Кошелек злоумышленника на сегодняшний день получил только небольшие суммы, что является признаком того, что Crypto Copilot еще не достиг многих пользователей, а не показателем того, что уязвимость низкого риска, согласно отчету.

Механизм взимания платы масштабируется в зависимости от размера сделки: для свопов менее 2,6 SOL применяется минимальная плата в 0,0013 SOL, а выше этого порога начинает действовать процентная ставка в 0,05%, что означает, что своп на 100 SOL будет брать 0,05 SOL, примерно $10 по текущим ценам.

Основной домен расширения cryptocopilot[.]app припаркован у регистратора доменов GoDaddy, в то время как бэкенд на crypto-coplilot-dashboard[.]vercel[.]app, заметно с ошибкой в написании, отображает только пустую страницу-заполнитель, несмотря на сбор данных кошельков, говорится в отчете.

Socket подал запрос на удаление в команду безопасности магазина Chrome от Google, хотя расширение оставалось доступным на момент публикации.

Платформа призвала пользователей внимательно ознакомиться с каждой инструкцией перед подписанием транзакций, избегать закрытых торговых расширений, запрашивающих разрешения на подпись, и перенести активы в чистые кошельки, если они установили Crypto Copilot.

Шаблоны вредоносного ПО

Малварь остается растущей проблемой для пользователей криптовалют. В сентябре был обнаружен штамм малвари под названием ModStealer, нацеленный на криптокошельки на Windows, Linux и macOS через фальшивые объявления о трудоустройстве, избегая обнаружения основными антивирусными движками почти в течение месяца.

Технический директор Ledger Шарль Гийемет ранее предупреждал, что злоумышленники скомпрометировали учетную запись разработчика NPM, с вредоносным кодом, пытающимся незаметно заменить адреса крипто-кошельков во время транзакций на нескольких блокчейнах.