Pesquisadores de segurança cibernética descobriram uma extensão maliciosa para o navegador Chrome que se disfarça como uma carteira legítima de Ethereum. Nomeada “Safery: Ethereum Wallet”, essa extensão foi projetada para roubar frases de recuperação de carteiras de criptomoedas. A extensão foi disponibilizada na Chrome Web Store em 29 de setembro de 2025 e recebeu atualizações até 12 de novembro, permanecendo acessível para download.
Descrita como uma carteira segura para gerenciar Ethereum, a extensão contém um backdoor que exfiltra frases de recuperação ao codificá-las em endereços Sui falsos. Em seguida, realiza microtransações a partir de uma carteira Sui controlada por invasores. O objetivo é ocultar as frases de recuperação em transações blockchain aparentemente normais, eliminando a necessidade de um servidor de comando e controle para receber as informações.
O malware rouba frases mnemônicas de carteiras ao codificá-las como endereços Sui falsos, enviando microtransações de 0,000001 SUI para esses endereços. Após a conclusão das transações, os invasores podem decodificar os endereços para reconstruir a frase original e, assim, esvaziar os ativos das vítimas.
Para mitigar o risco, é aconselhável que os usuários utilizem extensões de carteira confiáveis. Defensores devem escanear extensões em busca de codificadores mnemônicos, geradores de endereços sintéticos e frases de recuperação codificadas, além de bloquear aquelas que escrevem na cadeia durante a importação ou criação de carteiras.
O pesquisador Kirill Boychenko alerta que essa técnica permite que invasores mudem de cadeia e endpoints RPC com facilidade, tornando ineficazes as detecções que dependem de domínios, URLs ou IDs específicos de extensões. Chamadas RPC inesperadas de blockchain devem ser tratadas como sinais de alerta, especialmente quando o produto se apresenta como de cadeia única.
Fonte: https://thehackernews.com/2025/11/fake-chrome-extension-safery-steals.html
