Une extension Google Chrome vole les clés privées des crypto-portemonnaies
Adéquatement nommée Shitcoin Wallet, le module complémentaire contenait du code malicieux visant à dérober des clés privées, des mots de passes et identifiants — avant d'envoyer le tout sur un serveur.
On est jamais trop prudent, même lorsqu’on utilise un navigateur sécurisé. On le sait, Google a du mal à endiguer le flot des applications s’ajoutant chaque jour au Play Store pour son système d’exploitation mobile Android, au point d’annoncer il y a quelques semaines une collaboration avec trois firmes de sécurité (ESET, Lookout et Zimperium) pour veiller à la sécurité de ses utilisateurs. Du côté du magasin d’extensions de Google Chrome cependant, la surveillance n’a pas l’air d’être de mise. Un chercheur a en effet découvert qu’un module baptisé « Shitcoin Wallet » censé aidé à gérer les Ether (ETH) et les jetons ERC20 utilisés pour les ICO injectait en vérité du code JavaScript pour dérober les identifiants, mots de passe et clés privées des crypto-portemonnaies. Le chercheur précise que l’application met en danger son utilisateur d’au moins deux manières.
Une extension infectée
La première est l’envoie immédiat des données récoltées, c’est-à-dire les clés privées des portemonnaies gérés à travers l’extension, à un site tiers à l’adresse erc20wallet[.]tk. Deuxièmement, l’extension injecte activement du code JavaScript malveillant lorsque les utilisateurs naviguent sur cinq plates-formes de gestion de cryptomonnaie (MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io, Switcheo.exchange). Ce code vole les informations d’identification de connexion et les clés privées, données qu’il envoie au même site tiers erc20wallet[.]tk selon ZDNet.
Un logiciel pour ordinateur
L’extension, toujours disponible avec plus de 600 installations, a été analysée par Harry Denley, chef de la sécurité sur MyCrypto.com, qui a découvert le code malicieux. Outre l’extension, des installateurs 32 et 64 bits ont également été mis à la disposition des utilisateurs. ZDNet précise cependant qu’une analyse avec VirusTotal n’a rien révélé de menaçant — l’infection de l’extension aurait pu être faite à l’insu de ses développeurs. Ce n’est pas la première fois que Google a des soucis avec le vol de cryptomonnaie, comme on le rapportait en février dernier.