Les extensions ont été découvertes par des chercheurs de MyCrypto - une interface open-source de blockchain qui aide à stocker, envoyer et recevoir des crypto-monnaies - et de PhishFort, qui vend une protection anti-phishing.

Mardi, Harry Denley, directeur de la sécurité de MyCrypto, a déclaré que les extensions de navigateur malveillantes ne sont pas nouvelles, mais les cibles de cette campagne le sont : elles incluent le portefeuille de crypto-monnaie Ledger (57 % des mauvaises extensions ciblaient ce portefeuille, ce qui en fait le plus ciblé de tous les portefeuilles, pour quelque raison que ce soit), Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus et KeepKey.

Denley a déclaré que, essentiellement, « les extensions recherchent des mots de passe », y compris les clés privées et les fichiers de clés, qui sont des fichiers de sécurité utilisés pour des choses comme l’identification des développeurs d’applications ou le cryptage SSL.

Denley a déclaré qu’une fois qu’un utilisateur a entré ces secrets, les extensions malveillantes ont envoyé une requête HTTP POST au client, ce qui a permis aux pirates d’avoir les codes nécessaires pour vider les portefeuilles.

Pas la première fois

En février, Google a brusquement retiré 500 extensions Chrome de sa boutique en ligne après que des chercheurs aient découvert qu’elles volaient des données de navigation et servaient de publicité malveillante. Les extensions s’étaient installées sur des millions d’ordinateurs d’utilisateurs.

Ceci montre que ce n’est pas parce qu’une extension est hébergée à partir d’une boutique en ligne officielle, qu’elle est sûre à utiliser. Les extensions malveillantes drainant les crypto-monnaies ne sont que la dernière d’une longue série d’exemples.