Extensión maliciosa roba Solana en Chrome Web Store

Investigadores de ciberseguridad han identificado una nueva extensión maliciosa en la Chrome Web Store, denominada Crypto Copilot, diseñada para robar criptomonedas Solana (SOL) mediante una técnica sofisticada de manipulación de transacciones en exchanges descentralizados.

Este caso vuelve a poner en evidencia cómo las extensiones de navegador se han convertido en una superficie de ataque crítica dentro del ecosistema cripto, especialmente cuando se utilizan para interactuar con wallets, DeFi y plataformas de trading.

¿Qué es Crypto Copilot y cómo llega a las víctimas?

Crypto Copilot fue publicada el 7 de mayo de 2024 en la Chrome Web Store por un usuario que se identifica como "sjclark76".
El desarrollador promociona la extensión como una herramienta para "operar criptomonedas directamente en X con información en tiempo real y una ejecución fluida", aparentando ser un asistente para traders de Web3.

Aunque contaba con apenas 12 instalaciones, su impacto potencial es alto debido al perfil de usuarios objetivo: personas activas en trading de Solana, especialmente en plataformas DeFi como Raydium.

El problema es que, detrás de esta interfaz aparentemente legítima, se oculta una funcionalidad maliciosa sumamente peligrosa.

Inyección sigilosa de transferencias SOL en swaps

De acuerdo con el investigador de seguridad Kush Pandya, de la empresa Socket, Crypto Copilot está diseñada para:

Inyectar una transferencia adicional oculta en cada operación de swap en la red Solana.

En lugar de modificar directamente la interfaz gráfica del usuario, la extensión actúa a nivel del flujo de transacción, manipulando el proceso antes de que el usuario firme.

¿Cómo lo hace exactamente?

Cuando un usuario realiza un swap en Raydium, la extensión:

• Intercepta la transacción antes de que se muestre para su firma.
• Inserta un método oculto SystemProgram.transfer.
• Añade una transferencia SOL hacia una cartera controlada por los atacantes.
• La transacción modificada se firma junto al intercambio original, sin alertar al usuario.

Todo esto ocurre de forma transparente y silenciosa, lo que hace que la víctima no tenga forma sencilla de detectar el robo.

Robo encubierto por "microcomisiones"

La estrategia de los atacantes no es robar grandes cantidades de una sola vez, sino aplicar una especie de "impuesto invisible" en cada transacción.

El esquema funciona así:

• Cobra un mínimo de 0,0013 SOL por operación.
• Si el swap supera los 2,6 SOL, añade además un 0,05% del importe total.
• Todo el dinero se redirige a una cartera codificada dentro del propio código de la extensión.

Este enfoque es peligroso porque:

• Las cantidades robadas parecen insignificantes en transacciones pequeñas.
• Los usuarios tienden a asumirlas como comisiones del protocolo.
• No aparece reflejado en la interfaz de Raydium ni en ninguna UI visible.

Ofuscación y técnicas de evasión

Para evitar ser detectado durante revisiones o análisis, el malware contenido en Crypto Copilot utiliza técnicas avanzadas como:

• Minificación de código.
• Renombramiento de variables y funciones.
• Fragmentación lógica para dificultar el análisis estático.
• Uso de estructuras ofuscadas que ocultan la lógica real de la extensión.

Esto complica su detección tanto por herramientas automáticas como por revisores humanos dentro de la propia Chrome Web Store.

Comunicación con servidores externos

La extensión no opera de forma aislada. También se comunica con una infraestructura backend alojada en:

• crypto-coplilot-dashboard.vercel[.]app
• cryptocopilot[.]app

Estos dominios no ofrecen ningún servicio real al usuario. Su función es:

• Registrar carteras conectadas.
• Recopilar datos sobre la actividad de los usuarios.
• Obtener información sobre puntos y referencias.
• Recoger métricas de uso y comportamiento.

Además, Crypto Copilot utiliza servicios legítimos como DexScreener y Helius RPC para simular normalidad en su operación y reforzar su apariencia de legitimidad.

Un robo invisible para el usuario promedio

Uno de los aspectos más preocupantes de este ataque es que el usuario no tiene ninguna pista visual del fraude:

• La interfaz muestra solo los detalles del swap normal.
• No hay avisos sobre transferencias adicionales.
• La transacción firmada incluye instrucciones ocultas que pasan desapercibidas.

CitarComo explica Kush Pandya:

"Como esta transferencia se añade silenciosamente y se envía a una cartera personal en lugar de a una tesorería de protocolos, la mayoría de los usuarios nunca la notarán a menos que inspeccionen cada instrucción antes de firmar."

Esto demuestra cómo el eslabón más débil en el ecosistema Web3 sigue siendo la confianza ciega en herramientas de terceros.

Riesgos crecientes en el ecosistema DeFi y blockchain

Este caso pone sobre la mesa varias amenazas en auge:

• Aumento de extensiones maliciosas Web3.
• Abuso de permisos en navegadores.
• Técnicas de manipulación directa en transacciones blockchain.
• Creciente sofisticación en ataques dirigidos a usuarios de Solana y DeFi.

No se trata solo de un problema técnico, sino de un desafío global de seguridad en el ecosistema cripto, donde cada capa (wallet, navegador, plugin) puede convertirse en una vía de ataque.

Cómo protegerse de extensiones maliciosas en criptomonedas

Para reducir el riesgo frente a amenazas como Crypto Copilot, se recomienda:

• Evitar instalar extensiones de baja reputación, especialmente en entornos de trading.
• Verificar siempre:
• Número de descargas.
• Reseñas verificadas.
• Identidad del desarrollador.
• Utilizar wallets hardware cuando sea posible.
• Revisar manualmente las transacciones antes de firmarlas.
• Separar la navegación de uso cripto de la navegación diaria.
• Mantener un navegador exclusivo para DeFi.
• Revisar permisos de cada extensión instalada.

Una señal de alerta para toda la comunidad cripto

Crypto Copilot no es solo una extensión maliciosa más. Representa un nuevo modelo de ataque centrado en la manipulación directa de transacciones blockchain, diseñado para robar pequeñas cantidades de forma silenciosa, persistente y difícil de detectar.

Este tipo de amenazas crecerán mientras el ecosistema siga madurando y más usuarios entren al mundo de las criptomonedas sin la debida educación en seguridad digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login