Extensão de Chrome de malware siphonou secretamente taxas de comerciantes de Solana durante meses

Em resumo

• A extensão do Chrome Crypto Copilot adiciona secretamente uma transferência oculta de SOL a cada troca Raydium, desviando taxas para a carteira de um atacante.
• A plataforma de segurança Socket descobriu que a extensão utiliza código ofuscado e um domínio de backend mal escrito e inativo para mascarar a sua atividade.
• O roubo em cadeia permanece pequeno até agora, mas o mecanismo escala com o tamanho do comércio, e a extensão ainda está ativa na Chrome Web Store.

O Hub de Arte, Moda e Entretenimento da Decrypt.

Descubra SCENE

Uma extensão do Chrome comercializada como uma ferramenta de negociação conveniente tem secretamente desviado SOL das trocas dos usuários desde junho passado, injetando taxas ocultas em cada transação enquanto se disfarça de um assistente de negociação legítimo da Solana.

A empresa de cibersegurança Socket descobriu a extensão de malware Crypto Copilot durante a “monitorização contínua” da Chrome Web Store, disse o engenheiro de segurança e investigador Kush Pandya ao Decrypt.

🚨 Pesquisadores de socket descobriram uma extensão maliciosa do Chrome que injeta transferências ocultas de #SOL em trocas Raydium, drenando silenciosamente taxas para uma carteira de atacante.

Análise completa → #Solana

— Socket (@SocketSecurity) 25 de novembro de 2025

Numa análise da extensão maliciosa publicada na quarta-feira, Pandya escreveu que o Crypto Copilot adiciona silenciosamente uma instrução de transferência extra a cada troca de Solana, extraindo um mínimo de 0.0013 SOL ou 0.05% do montante da negociação para uma carteira controlada pelo atacante.

“O nosso scanner de IA sinalizou múltiplos indicadores: ofuscação de código agressiva, um endereço Solana codificado embutido na lógica da transação, e discrepâncias entre a funcionalidade declarada da extensão e o comportamento real da rede,” disse Pandya à Decrypt, acrescentando que “esses alertas desencadearam uma análise manual mais profunda que confirmou o mecanismo de extração de taxas ocultas.”

A pesquisa aponta para riscos em ferramentas de criptomoeda baseadas em navegador, particularmente extensões que combinam integração com redes sociais e capacidades de assinatura de transações.

O relatório diz que a extensão permaneceu disponível na Chrome Web Store por meses, sem aviso aos usuários sobre as taxas não divulgadas enterradas em código fortemente ofuscado.

“O comportamento das taxas nunca é divulgado na listagem da Chrome Web Store, e a lógica que o implementa está enterrada dentro de um código fortemente ofuscado,” observou Pandya.

Cada vez que um utilizador troca tokens, a extensão gera a instrução de troca Raydium adequada, mas discretamente adiciona uma transferência extra direcionando SOL para o endereço do atacante.

Raydium é uma exchange descentralizada e criador de mercado automatizado baseado em Solana, enquanto um “Raydium swap” refere-se simplesmente à troca de um token por outro através das suas pools de liquidez.

Os utilizadores que instalaram o Crypto Copilot, acreditando que iria simplificar as suas transacções em Solana, têm, sem saber, pago taxas ocultas a cada troca, taxas que nunca apareceram nos materiais de marketing da extensão ou na listagem da Chrome Web Store.

A interface mostra apenas os detalhes da troca, e as janelas pop-up da carteira resumem a transação, de modo que os usuários assinam o que parece ser uma única troca, embora ambas as instruções sejam executadas simultaneamente na cadeia.

A carteira do atacante recebeu apenas pequenas quantias até à data, um sinal de que o Crypto Copilot ainda não chegou a muitos utilizadores, em vez de ser uma indicação de que a exploração é de baixo risco, de acordo com o relatório.

O mecanismo de taxas escala com o tamanho da negociação, pois para trocas abaixo de 2,6 SOL, aplica-se a taxa mínima de 0,0013 SOL, e acima desse limite, a taxa percentual de 0,05% entra em vigor, o que significa que uma troca de 100 SOL retiraria 0,05 SOL, aproximadamente $10 aos preços atuais.

O domínio principal da extensão cryptocopilot[.]app está estacionado pelo registro de domínios GoDaddy, enquanto o backend em crypto-coplilot-dashboard[.]vercel[.]app, notavelmente escrito de forma incorreta, exibe apenas uma página de espaço reservado em branco, apesar de coletar dados de carteira, diz o relatório.

O Socket submeteu um pedido de remoção à equipe de segurança da Chrome Web Store do Google, embora a extensão continuasse disponível no momento da publicação.

A plataforma instou os utilizadores a reverem cada instrução antes de assinarem transações, evitar extensões de negociação de código fechado que solicitem permissões de assinatura e migrar ativos para carteiras limpas se tiverem instalado o Crypto Copilot.

Padrões de malware

O malware continua a ser uma preocupação crescente para os utilizadores de criptomoedas. Em setembro, uma variante de malware chamada ModStealer foi encontrada a atacar carteiras de criptomoedas em Windows, Linux e macOS através de anúncios falsos de recrutadores de emprego, evitando a deteção pelos principais motores antivírus durante quase um mês.

O CTO da Ledger, Charles Guillemet, já alertou que atacantes comprometeram uma conta de desenvolvedor NPM, com código malicioso tentando trocas silenciosas de endereços de carteiras de criptomoedas durante transações em múltiplas blockchains.