区块链安全公司 SlowMist 报告称，有恶意的 Chrome 扩展程序伪装成 TronLink 钱包

区块链安全公司 SlowMist 发布了一份威胁情报报告，详细介绍了一款伪装成 TronLink 钱包的恶意 Chrome 扩展程序。根据 Foresight News 的报道，该扩展程序的 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd，利用 Unicode 双向控制字符和西里尔字母来冒充 TronLink 品牌名称。它继承了现有 Chrome 商店扩展程序的高评分，显示出超过一百万的安装量和 4.5 星的评分，以降低用户的怀疑。攻击分为两个层面：第一个层面涉及一个本地恶意扩展程序，一旦安装，优先加载一个远程 iframe 作为弹出界面，请求最小权限以规避审核。第二个层面是托管在 Vercel 平台上的远程钓鱼页面，完全模仿 TronLink 网页钱包的用户界面。它提示用户输入助记词、私钥和 Keystore 文件，然后通过 Telegram Bot（chat_id: 8334454422）将这些凭据发送给攻击者。钓鱼页面包括访客识别和阻止逻辑，禁用右键和开发者工具，并将讲俄语的用户重定向到另一个域名，以避免安全研究人员的动态分析。SlowMist 建议已安装该扩展程序的用户立即卸载并清除本地存储。如果在扩展程序或钓鱼页面上输入了钱包凭据，用户应在可信设备上创建一个新钱包并转移资产。涉及的恶意域名为 tronfind-api[.] tronfindexplorer[.] com 和 trx-scan-explorer[.] org。官方 TronLink 扩展程序 ID 为 ibnejdfjmmkpcnlpebklmnkoeoihofec，用户可以通过比较 ID 来验证。