セキュリティ研究者のクッシュ・パンディア氏は25日、悪意あるChrome拡張機能「Crypto Copilot」に隠された不正送金コードの詳細を公開した。
隠された送金命令の仕組み
Crypto Copilotは、X(旧ツイッター)上でリアルタイムに仮想通貨取引ができる便利ツールとして宣伝されていた。
しかし、パンディア氏の報告により、ソラナ(SOL)チェーン上の分散型取引所Raydium(レイディウム)の取引に密かに介入する悪質な仕組みが組み込まれていたことが明らかになった。
Crypto Copilotは、一般的なマルウェアのようにウォレット全体を盗むタイプではない。
ユーザーがスワップ取引を行い、署名する直前の瞬間に、別の送金命令をこっそり追加する動作が仕組まれている。
その結果、2.6SOL未満の取引では最低0.0013SOL、2.6SOL以上では0.05%が徴収されるという不正な手数料が自動で送金される仕組みになっていた。
さらに、この悪意あるコードは、ユーザーがRaydiumで取引を行ったときにのみ作動するよう、非常に巧妙に設計されている。
ウォレット表示の盲点を悪用した手口
攻撃が成立した背景には、仮想通貨ウォレットのインターフェースが複数の命令を1つの操作としてまとめて表示する仕様がある。
そのため、ユーザーには通常のスワップ取引として見え、裏側で追加された送金命令に気づきにくい仕組みになっていたのだ。
この拡張機能は、DEX toolsやDEX Screenerといった正規のサービスを利用しているように見せかけ、信頼性を装っていた。
さらに、コードを意図的に複雑化し、Chromeウェブストアの審査をすり抜ける手法まで用いられていた。
研究者は、取引ごとの命令内容を個別に確認しない限り、多くのユーザーは不正送金に気づくことができないと指摘している。
同時に、攻撃者はユーザーの利便性やUIへの信頼を逆手に取った、非常に巧妙なアプローチを採用していたわけだ。
被害の現状と推奨される対策
発見時点で、この拡張機能のインストール数は12件とごく少数にとどまっていた。
ソケット・セキュリティはGoogleに対して正式に削除を要請したものの、報告時点ではまだダウンロード可能な状態だった。
攻撃者のウォレットを分析した結果、現時点での被害額は限定的であることが確認されている。しかし、今後取引量が増えれば被害が拡大する恐れがあるため、引き続き警戒が必要だ。
例えば、100SOLの取引を行った場合、0.05SOLが不正に抜き取られる計算になる。
専門家は、この拡張機能を利用した可能性のあるユーザーに対し、速やかに資産を新しいウォレットへ移すよう注意喚起している。
また、安全性をさらに高めるため、信頼性の高いプライベートウォレットの導入も検討すべきだとしている。
