ปลอดภัย: ส่วนขยาย Chrome สำหรับกระเป๋าเงิน Ethereum
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบส่วนขยาย Chrome อันตรายที่แอบอ้างว่าเป็นกระเป๋าเงิน Ethereum ที่ถูกต้องตามกฎหมาย ส่วนขยายนี้มีชื่อว่า Safery: Ethereum Wallet โดยอ้างว่าเป็น "กระเป๋าเงินที่ปลอดภัยสำหรับจัดการสกุลเงินดิจิทัล Ethereum ด้วยการตั้งค่าที่ยืดหยุ่น" ส่วนขยายนี้ถูกอัปโหลดขึ้น Chrome เว็บสโตร์ครั้งแรกเมื่อวันที่ 29 กันยายน 2025 และอัปเดตล่าสุดเมื่อวันที่ 12 พฤศจิกายน แม้จะดูเหมือนเป็นกระเป๋าเงิน Ethereum (ETH) ที่เรียบง่ายและปลอดภัย แต่ส่วนขยายนี้กลับซ่อนมัลแวร์ที่ซับซ้อนซึ่งออกแบบมาเพื่อขโมยวลีเริ่มต้นของผู้ใช้
สารบัญ
มัลแวร์ทำงานอย่างไร
ส่วนขยายที่เป็นอันตรายนี้มีแบ็กดอร์ที่ขโมยวลีช่วยจำในกระเป๋าเงินโดยการเข้ารหัสเป็นที่อยู่ Sui ปลอม จากนั้นส่วนขยายจะออกอากาศธุรกรรมขนาดเล็กจากกระเป๋าเงิน Sui ที่ผู้โจมตีควบคุม ทำให้ผู้โจมตีสามารถดึงข้อมูลสำคัญออกมาได้โดยไม่ต้องใช้เซิร์ฟเวอร์ Command-and-Control (C2) แบบดั้งเดิม
ขั้นตอนการทำงานมีดังนี้:
- ส่วนขยายจะเข้ารหัสวลีเมล็ดพันธุ์ของผู้ใช้เป็นที่อยู่ Sui
- มันส่งไมโครธุรกรรมขนาดเล็ก (0.000001 SUI) ไปยังที่อยู่ปลอมเหล่านี้จากกระเป๋าเงินของผู้โจมตี
- ผู้โจมตีจะตรวจสอบบล็อคเชนและถอดรหัสที่อยู่ผู้รับเพื่อสร้างวลีเมล็ดพันธุ์เดิมขึ้นมาใหม่
- เมื่อสร้างใหม่แล้ว ผู้โจมตีสามารถดึงทรัพย์สินของเหยื่อออกจากกระเป๋าเงินได้
วิธีการนี้ทำให้ผู้โจมตีสามารถลักลอบนำข้อมูลที่ละเอียดอ่อนเข้ามาผ่านธุรกรรมบล็อคเชนที่ดูเหมือนปกติ โดยหลีกเลี่ยงกลไกการตรวจจับแบบดั้งเดิม
ความท้าทายในการตรวจจับภัยคุกคาม
เทคนิคการโจมตีนี้มีความแนบเนียนเป็นพิเศษ เพราะช่วยให้ผู้โจมตีสามารถสลับเชนและจุดเชื่อมต่อ RPC ได้อย่างง่ายดาย ส่งผลให้ระบบป้องกันที่อาศัยโดเมน URL หรือ ID ส่วนขยายเฉพาะเพียงอย่างเดียวอาจล้มเหลวได้ การเรียก RPC ของบล็อกเชนโดยไม่คาดคิดจากเบราว์เซอร์ โดยเฉพาะอย่างยิ่งเมื่อผลิตภัณฑ์อ้างว่าทำงานบนเชนเดียว ควรได้รับการปฏิบัติเป็นสัญญาณที่มีความเสี่ยงสูง
กลยุทธ์การบรรเทาที่แนะนำ
เพื่อป้องกันภัยคุกคามนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำข้อควรระวังดังต่อไปนี้:
สำหรับผู้ใช้ : ติดตั้งส่วนขยายกระเป๋าสตางค์จากแหล่งที่เชื่อถือได้และผ่านการตรวจสอบเท่านั้น หลีกเลี่ยงส่วนขยายที่เพิ่งเผยแพร่หรือมีรีวิวจำกัด
สำหรับผู้ป้องกัน : สแกนส่วนขยายเบราว์เซอร์เพื่อหาพฤติกรรมที่เป็นอันตราย เช่น ตัวเข้ารหัสช่วยจำ ตัวสร้างที่อยู่สังเคราะห์ และวลีเริ่มต้นที่ฮาร์ดโค้ด บล็อกส่วนขยายใดๆ ที่พยายามเขียนธุรกรรมบนเชนระหว่างการสร้างหรือนำเข้ากระเป๋าเงิน
โดยการใช้มาตรการป้องกันเหล่านี้ ทั้งผู้ใช้ปลายทางและทีมงานด้านความปลอดภัยสามารถลดความเสี่ยงของการขโมยวลีเมล็ดพันธุ์และการถอนเงินโดยไม่ได้รับอนุญาตได้อย่างมาก
