瀏覽器擴充功能因其便利性，已成為網路攻擊者鎖定加密貨幣資產的熱門管道。近期發現的一款惡意程式，不僅偽裝成信譽良好的以太坊錢包，更採用了一種極為隱蔽且難以偵測的資料竊取機制，對Web3用戶構成嚴重威脅。

網路安全研究人員發現了一款惡意 Chrome 擴充程序，該程式偽裝成合法的以太坊錢包，但實際上卻隱藏著竊取用戶助記詞的功能。該擴充功能名為「Safery：以太坊錢包」，攻擊者將其描述為「一款可靈活設置的安全以太坊錢包」。它於2025年9月29日上傳至Chrome網路應用程式商店，最近一次更新是在11月12日。截至撰寫本文時，該擴充功能仍可供下載。這款惡意軟體的精妙之處在於其資料滲透技術，它利用另一條區塊鏈——Sui，將竊取的助記詞編碼為看似正常的區塊鏈交易中的接收方地址，並發送極小的微交易，從而實現資訊的傳輸。

該惡意軟體的最終目標是將助記詞偷偷嵌入看似正常的區塊鏈交易中，而無需設定命令與控制 (C2) 伺服器來接收資訊。交易完成後，攻擊者可以解碼接收方地址，重建原始助記詞，並最終竊取其中的資產。這種「無C2」的滲透方式，使其能夠繞過傳統的網路監控和防火牆，因為所有活動都偽裝成合法的區塊鏈RPC（遠端程序呼叫）。為因應此威脅帶來的風險，建議用戶使用可信賴的錢包擴充程式，務必從官方管道或經過高度驗證的來源下載。

Socket 安全研究員 Kirill Boychenko表示：這種技術使得攻擊者能夠輕鬆切換區塊鏈和RPC端點，因此依賴域名、URL或特定擴展ID的檢測方法將無法奏效。組織應將來自瀏覽器的意外區塊鏈RPC調用視為高風險信號，尤其是在產品聲稱是單鏈的情況下。為了提升防禦能力，安全人員建議掃描擴充程序，尋找助記詞編碼器、合成位址產生器和硬編碼的種子短語，並阻止在錢包導入或創建過程中寫入區塊鏈的擴充程式。此事件標誌著網路犯罪分子在規避檢測方面進入了一個新的複雜階段，迫使資安社群必須重新審視並加強針對瀏覽器擴充功能與Web3資產的保護策略。

資料來源：https://thehackernews.com/2025/11/fake-chrome-extension-safery-steals.html