區塊鏈安全公司 SlowMist 報告稱，有惡意的 Chrome 擴展程序偽裝成 TronLink 錢包

區塊鏈安全公司 SlowMist 發佈了一份威脅情報報告，詳細介紹了一款偽裝成 TronLink 錢包的惡意 Chrome 擴展程序。根據 Foresight News 的報道，該擴展程序的 ID 為 ekjidonhjmneoompmjbjofpjmhklpjdd，利用 Unicode 雙向控制字符和西裏爾字母來冒充 TronLink 品牌名稱。它繼承了現有 Chrome 商店擴展程序的高評分，顯示出超過一百萬的安裝量和 4.5 星的評分，以降低用户的懷疑。攻擊分為兩個層面：第一個層面涉及一個本地惡意擴展程序，一旦安裝，優先加載一個遠程 iframe 作為彈出界面，請求最小權限以規避審核。第二個層面是託管在 Vercel 平台上的遠程釣魚頁面，完全模仿 TronLink 網頁錢包的用户界面。它提示用户輸入助記詞、私鑰和 Keystore 文件，然後通過 Telegram Bot（chat_id: 8334454422）將這些憑據發送給攻擊者。釣魚頁面包括訪客識別和阻止邏輯，禁用右鍵和開發者工具，並將講俄語的用户重定向到另一個域名，以避免安全研究人員的動態分析。SlowMist 建議已安裝該擴展程序的用户立即卸載並清除本地存儲。如果在擴展程序或釣魚頁面上輸入了錢包憑據，用户應在可信設備上創建一個新錢包並轉移資產。涉及的惡意域名為 tronfind-api[.] tronfindexplorer[.] com 和 trx-scan-explorer[.] org。官方 TronLink 擴展程序 ID 為 ibnejdfjmmkpcnlpebklmnkoeoihofec，用户可以通過比較 ID 來驗證。