Pesquisadores em cibersegurança identificaram uma extensão maliciosa para o Chrome que se apresenta como uma carteira legítima de Ethereum, mas, na verdade, contém funcionalidades para roubar as seed phrases dos usuários.
A extensão, chamada "Safery: Ethereum Wallet", foi divulgada pelo desenvolvedor como uma “carteira segura para gerenciar criptomoedas Ethereum com configurações flexíveis”.
Ela foi publicada na Chrome Web Store em 29 de setembro de 2025 e recebeu atualização recente em 12 de novembro.
Até o momento da publicação desta reportagem, a extensão ainda estava disponível para download.
Segundo Kirill Boychenko, pesquisador da Socket Security, “a extensão é divulgada como uma carteira simples e segura para Ethereum (ETH), mas possui uma backdoor que exfiltra as seed phrases codificando-as em endereços da blockchain Sui e enviando microtransações de uma carteira Sui controlada pelo invasor”.
O malware embutido na extensão funciona roubando a frase mnemônica da carteira do usuário.
Para isso, a extensão transforma a seed phrase em endereços falsos da rede Sui e realiza microtransações de 0,000001 SUI para esses endereços, partindo de uma carteira previamente configurada pelo invasor.
O objetivo dessa técnica é infiltrar a seed phrase em transações aparentemente legítimas na blockchain, eliminando a necessidade de um servidor de comando e controle (C2) para captar os dados roubados.
Após a confirmação das transações, o atacante consegue decodificar os endereços destinatários e recuperar a seed phrase original, possibilitando o esvaziamento dos ativos da vítima.
Em sua análise, a Koi Security reforça: “a extensão rouba as seed phrases ao codificá-las em endereços falsos da Sui e enviar microtransações provenientes de uma carteira sob controle do invasor, permitindo o monitoramento da blockchain, decodificação dos endereços e consequente furto dos fundos das vítimas.”
Para se proteger, os usuários devem optar apenas por extensões de carteiras confiáveis.
Especialistas em defesa recomendam analisar extensões em busca de codificadores de mnemônicos, geradores de endereços sintéticos e seed phrases codificadas, além de bloquear aquelas que realizam gravações na blockchain durante a importação ou criação da carteira.
Como destaca Boychenko, “essa técnica permite que invasores alternem entre diferentes blockchains e endpoints RPC quase sem esforço, o que dificulta a detecção baseada em domínios, URLs ou IDs específicos de extensões”.
Ele aconselha ainda: “considere como sinal de alerta qualquer chamada RPC blockchain inesperada vinda do navegador, principalmente quando o produto se apresenta como uma solução para uma única cadeia”.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...