يكشف تقرير جديد أن امتدادًا خبيثًا على متصفح Google Chrome يتيح للمستخدمين إجراء عمليات تداول على شبكة سولانا، بينما يقتطع سرًا جزءًا صغيرًا من كل صفقة ليحوّله إلى محفظة منشئه.
وفقًا لتقرير صدر يوم الثلاثاء عن شركة الأمن السيبراني Socket، يسمح الامتداد للمستخدمين بالتداول على سولانا (SOL) مباشرة من خلاصة حسابهم على X. وعلى عكس برمجيات سرقة المحافظ التقليدية التي تحاول سحب الرصيد كاملًا، يقوم امتداد Crypto Copilot بـ“حقن تحويل إضافي في كل صفقة على سولانا، مقتطعًا ما لا يقل عن 0.0013 SOL أو 0.05% من قيمة التداول”، بحسب ما وجدته Socket.
على المستوى التقني، يستخدم الامتداد منصّة التداول اللامركزية Raydium لتنفيذ الصفقات، لكنه يضيف إليها تعليمات ثانوية تنقل جزءًا من رصيد SOL من المستخدم إلى المهاجم. واجهة المستخدم لا تُظهر سوى تفاصيل الصفقة الرئيسية، بينما تعرض شاشة تأكيد المحفظة ملخّصًا عامًا دون إظهار التعليمات المفصّلة.
وقالت Socket: “المستخدمون يوقعون على ما يبدو أنّه صفقة واحدة، لكن كلا التعليمتين تُنفّذان معًا على السلسلة“.
امتداد خبيث نشط منذ فترة طويلة
ذكرت Socket أنّها قدمت طلب إزالة الامتداد إلى فريق أمان Chrome Web Store. ورغم أنّ الامتداد نُشر في 18 يونيو 2024، إلا أنّ متجر Chrome يشير إلى أنّ عدد مستخدميه لا يتجاوز 15 مستخدمًا حتى وقت كتابة التقرير.
يسوّق Crypto Copilot نفسه كأداة تمنح راحة ومرونة للمتداولين، إذ تتيح لهم تنفيذ صفقات سولانا مباشرة من تويتر، واعدًا بـ“التحرك الفوري على الفرص دون الحاجة للانتقال بين التطبيقات والمنصّات”.
حلقة جديدة في سلسلة من إضافات Chrome الخبيثة
لطالما كانت إضافات Chrome هدفًا رئيسيًا لعمليات الاحتيال المرتبطة بالعملات الرقمية، نظرًا للقاعدة الضخمة للمستخدمين وسهولة توسيع وظائف المتصفح. ففي وقت سابق من هذا الشهر، حذّرت Socket من أنّ رابع أشهر إضافة لمحفظة كريبتو في متجر Chrome كانت تسرق أموال المستخدمين. وفي أواخر أغسطس، قالت منصة التجميع اللامركزي Jupiter إنّها رصدت امتدادًا خبيثًا آخر كان يفرّغ محافظ سولانا.
وفي يونيو 2024، خسر متداول صيني نحو مليون دولار بعد تثبيت إضافة Chrome تُدعى Aggr، إذ كانت تسرق ملفات تعريف الارتباط (Cookies) للسيطرة على الحسابات بما فيها حسابه على Binance.