가상 화폐 지갑의 개인 키를 훔치는 크롬 확장 프로그램 발견

Chrome extension caught stealing crypto-wallet private keys

한 구글 크롬 확장 프로그램이 웹 페이지에 가상 화폐 지갑 및 가상 화폐 포털의 패스워드와 개인 키를 훔치는 자바 스크립트 코드를 인젝션한 것으로 나타났습니다.

이 확장 프로그램의 이름은 Shitcoin Wallet(Chrome extension ID: ckkgmccefffnbbalkmbbgebbojjogffn)이며 12월 9일 등록되었습니다. 

블로그 게시물에 따르면, Shitcoin Wallet은 ETH 코인뿐만 아니라 일반적으로 초기 코인 제공(ICO)을 위해 발행되는 이더리움 ERC20 기반 토큰을 관리할 수 있습니다.

사용자는 이 크롬 확장 프로그램을 설치하여 브라우저를 통해 ETH 코인 및 ERC20 토큰을 관리하거나, 위험한 브라우저 환경을 벗어나고자 할 경우 윈도우 데스크톱 애플리케이션을 설치하여 사용할 수 있습니다.

악성 행위 분석

MyCrypto 플랫폼의 보안 책임자인 Harry Denley는 이 확장 프로그램이 악성코드를 포함하고 있는 것을 발견했습니다.

Denley는 이 확장 프로그램이 위험한 이유로 2가지를 들었습니다.

첫 번째로, 이 확장 프로그램을 통해 관리하는 모든 자금(ETH 코인 및 ERC20 기반 토큰)이 위험합니다.

그는 이 확장 프로그램의 인터페이스를 통해 생성되거나 관리하는 모든 지갑의 개인 키를 타사 웹사이트인 erc20wallet[.]tk로 전송합니다.

두 번째로, 이 확장 프로그램은 사용자가 유명한 가상 화폐 관리 플랫폼 5곳을 방문할 때마다 적극적으로 악성 자바스크립트 코드를 인젝션합니다.

이 코드는 로그인 크리덴셜과 개인 키, 데이터를 훔치며 erc20wallet[.]tk 웹사이트로 보냅니다.

분석 결과 이 악성코드는 아래와 같이 동작합니다.

• 사용자가 크롬 확장 프로그램을 설치
• 크롬 확장 프로그램이 웹사이트 77곳에 JS 코드를 설치할 권한을 요청 (사이트 목록)
• 사용자가 위 웹사이트 77곳을 방문할 때마다 이 확장 프로그램은 아래 링크로부터 추가 JS 파일을 로드하여 인젝션합니다.
• https://erc20wallet[.]tk/js/content_.js
• 이 JS 파일은 난독화된 코드를 포함하고 있습니다. (난독화 해제된 코드)
• 이 코드는 아래 5개 사이트에서 활성화됩니다.
• MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io, Switcheo.exchange
• 악성 JS 코드가 활성화되면 사용자의 로그인 크리덴셜을 기록하고 해당 서비스 5개의 대시보드 내 저장된 개인 키를 찾습니다. 그 후 수집한 데이터를 erc20wallet[.]tk로 보냅니다.

확장 프로그램은 공식 크롬 웹 스토어에서 여전히 다운로드 가능했으며, 설치 수는 625건이었습니다.

Shitcoin Wallet의 개발 팀이 이 악성코드를 의도적으로 심은 것인지, 아니면 누군가 이 확장 프로그램을 해킹한 것인지는 아직까지 밝혀지지 않았습니다. Shitcoin Wallet에 문의했으나 아직까지 답변을 받을 수 없었습니다.

데스크톱 애플리케이션

이 확장 프로그램의 공식 웹사이트에는 32비트 및 64비트 환경에서 사용할 수 있는 인스톨러를 제공합니다.

VirusTotal로 스캔 결과 이 두 파일 모두 깨끗했습니다.

하지만, 해당 지갑의 텔레그램 채널에 포스팅된 수많은 코멘트에 따르면 이 데스크톱 애플리케이션 또한 악성 코드를 포함하고 있을 가능성이 있는 것으로 나타났습니다.

출처:

https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/