Malveillante extension Chrome : du Solana volé discrètement à chaque transaction

Une extension Google Chrome en apparence utile pour les traders Solana s’avère en réalité conçue pour dérober des cryptomonnaies. La société de cybersécurité Socket met en garde contre l’extension Crypto Copilot, qui prélève subrepticement de petites quantités de Solana (SOL) à chaque transaction effectuée par les utilisateurs.

L’extension dissimule une seconde transaction

Crypto Copilot est présentée comme un outil permettant aux utilisateurs d’exécuter des transactions sur le réseau Solana directement depuis leur fil X. Mais une enquête révèle que l’extension ajoute en cachette une transaction supplémentaire à chaque swap. Au minimum 0,0013 SOL ou 0,05 % du montant de l’opération est alors envoyé vers le wallet du développeur de l’extension.

L’extension exécute ce transfert caché en parallèle du swap classique. Comme les deux ordres sont traités simultanément, l’utilisateur ne se rend pas compte qu’une partie de ses fonds est détournée. Les wallets n’affichent en outre généralement qu’un récapitulatif global, ce qui laisse cette instruction supplémentaire hors du champ de vision.

Selon Socket, les utilisateurs ont ainsi l’impression de ne signer qu’une seule transaction, alors qu’en réalité deux opérations sont effectuées.

Disponible depuis des mois dans le Chrome Web Store

Crypto Copilot est proposée dans le Chrome Web Store depuis le 18 juin 2024. L’extension ne compte pour l’instant qu’une quinzaine d’utilisateurs, mais Socket a tout de même déposé une demande de retrait auprès de l’équipe de sécurité de Google.

Cette découverte montre une nouvelle fois que les extensions de navigateur restent une cible de choix pour les cybercriminels. Le vaste parc d’utilisateurs de Chrome et les larges possibilités offertes aux développeurs rendent la plateforme particulièrement vulnérable aux abus.

Une menace croissante des extensions crypto malveillantes

L’alerte lancée par Socket n’est pas un cas isolé. Plus tôt cette année, une extension de cryptowallet populaire a également été retirée du Chrome Web Store pour des pratiques similaires. En août, l’agrégateur d’exchanges Solana Jupiter a lui aussi identifié une extension qui vidait les wallets de ses utilisateurs.

Par ailleurs, un trader chinois aurait perdu un million de dollars en juin après avoir installé une autre extension malveillante, qui volait les cookies du navigateur et a ainsi obtenu l’accès à son compte Binance.

Recommandations aux utilisateurs

Les experts conseillent aux utilisateurs de se montrer extrêmement vigilants avant d’installer des extensions de navigateur qui demandent un accès aux cryptowallets. N’installez que des logiciels provenant de développeurs de confiance, vérifiez régulièrement quelles extensions sont actives et supprimez tout ce que vous n’utilisez pas ou en quoi vous n’avez pas confiance.

Les incidents récents démontrent que même des outils en apparence inoffensifs peuvent embarquer des fonctions cachées susceptibles de provoquer des pertes financières.