افشای افزونه جعلی Chrome: سرقت Seed Phrase با تراکنش‌های Sui و تکنیک رمزگذاری در بلاک‌چین!

پژوهشگران امنیت سایبری یک افزونه مخربِ Chrome را شناسایی کرده‌اند که با ظاهر یک کیف‌پول معتبر اتریوم منتشر شده، اما در پس‌زمینه، Seed Phrase کاربران را سرقت می‌کند.

این افزونه با نام “Safery: Ethereum Wallet” در ۲۹ سپتامبر ۲۰۲۵ در Chrome Web Store منتشر شده و تا ۱۲ نوامبر ۲۰۲۵ نیز به‌روزرسانی شده است. نکته نگران‌کننده اینکه در زمان نگارش گزارش هنوز هم در دسترس است.

به گفته Kirill Boychenko، محقق امنیتی Socket، این افزونه که خود را یک کیف‌پول «ساده و امن» معرفی می‌کند، یک بک‌دور دارد که Seed Phrase را با روشی غیرمعمول و بسیار مخفیانه خارج می‌کند:

روش سرقت: رمزگذاری Seed Phrase داخل آدرس‌های جعلی Sui

سازوکار افزونه به‌صورت خلاصه:

1. Seed Phrase کاربر را دریافت می‌کند

2. آن را به مقادیر رمزگذاری‌شده شبیه آدرس کیف‌پول Sui تبدیل می‌کند

3. از یک کیف‌پول تحت کنترل مهاجم، تراکنش‌های بسیار کوچک (۰.۰۰۰۰۰۱ SUI) به این آدرس‌های جعلی ارسال می‌کند

4. مهاجم با بررسی بلاک‌چین و آدرس‌های مقصد، Seed Phrase را از دل آدرس‌ها استخراج (Decode) می‌کند

5. سپس دارایی قربانی را تخلیه می‌کند

این روش باعث می‌شود مهاجم نیازی به سرور فرماندهی‌(C2) نداشته باشد. تمام اطلاعات از طریق تراکنش‌های معمولی روی بلاک‌چین جابه‌جا می‌شود؛ کاملاً طبیعی و بدون ایجاد ترافیک مشکوک.

طبق تحلیل Koi Security:

«این افزونه با رمزگذاری Seed Phrase داخل آدرس‌های تقلبی Sui و ارسال تراکنش‌های کوچک، امکان پایش بلاک‌چین و استخراج Seed Phrase را برای مهاجم فراهم می‌کند.»