“Shitcoin Wallet” ismi ile bilinen Ethereum (ETH) cüzdanının, kullanıcılarından veri çalmak için açık olan tarayıcı pencerelerine kötü amaçlı javascript kodu enjekte ettiği bildirildi.

Siber güvenlik ve kimlik avı koruması uzmanı Harry Denley, 30 Aralık'ta gönderdiği tweet'te bahsi geçen ihlal konusunda kullanıcıları uyardı:

Kaynak: Twitter

Denley’nin tweet'ine göre, Chrome tarayıcısı üzerinde çalışan kripto cüzdan yazılımı Shitcoin Wallet; Binance, MyEtherWallet ve diğer ünlü kripto para web sitelerini hedefleyerek kullanıcıların şifrelerine ve kripto para birimine özel gizli anahtarlarına erişiyor.

Shitcoin Wallet Chrome uzantısı (ExtensionID: ckkgmccefffnbbalkmbbgebbojjogffn), uzak sunucudan birkaç javascript dosyası indirerek çalışıyor. Kod daha sonra borsaların web sayfalarını ve Ethereum ağ araçlarını içeren açık tarayıcı pencerelerini tarıyor.

Kod, veri girişini bu pencerelere kopyalamaya çalışıyor. Bunu yaptıktan sonra ilgili veriler, Yeni Zelanda topraklarının bir parçası olan ve Güney Pasifik ada grubundaki Tokelau isimli bölgede yer alan “erc20wallet.tk” isimli sunucuya gönderiliyor.

Google Chrome, MetaMask'ı kaldırdı ancak farklı nedenlerle

Kullanıcı verilerini çalan Shitcoin Wallet; Apple’ın uygulama mağazasından kaldırmayı planladığı Coinbase’in mobil DApp tarayıcısı ve Google'ın kendi uygulama mağazasından kaldırdığı Ethereum cüzdan uygulaması MetaMask vakalarına benziyor gibi görünebilir. Ancak bu örneklerin her ikisinde de uygulamaların kötü niyetli davranış kanıtları bulunamamış, önemli tartışmalar yaşanmasına neden olmuştu.

Geçen yıl Google Chrome web mağazasında bir dizi kripto saldırı (cryptojacking) uzantısı tespit edilmişti. McAfee Labs tarafından yayımlanan güncel rapora göre, kullanıcılara ait cihazlar üzerinden gizlice kripto para madenciliği yapan uygulamaların sayısı 2019'un ilk çeyreğinde yüzde 29 arttı.

Shitcoin Wallet çevrim içi sorunları çözmek için üretilmişti

Uygulamanın sadece ismi bile, bu cüzdan yazılımından uzak durmak için fikir veriyor olsa da, Shitcoin Wallet bazı şüpheli ek özellikler de içeriyor.

Geliştiricilerin blog yazısına göre, 9 Aralık'ta piyasaya sürülen ve 2.000'den fazla kullanıcısı olduğu iddia eden Ethereum cüzdanı, farklı tarayıcılar için çeşitli uzantılara sahip web tabanlı bir cüzdan olarak çalışıyor. Blog yazısında şu ifadeler yer alıyor:

“Bu, farklı tarayıcılar için farklı uzantılara sahip bir web cüzdanı. Daha sonra kaleme alacağım makalede ayrıntıya gireceğim.”

Bu açıklamaya rağmen Shitcoin Wallet, şu anda yalnızca Chrome tarafından desteklendiğini söylüyor.

Kötü amaçlı javascript saldırısından birkaç gün önce, Shitcoin Wallet yeni masaüstü uygulamasının başlatıldığını duyurdu. Shitcoin Wallet masaüstü uygulamasını indirip yükleyen kullanıcılara 0,05 ETH verildi.

Uygulamayı indiren kullanıcılar ücretsiz ETH almış olsalar da, artık verilerinin ele geçirilmesine ve kişisel bilgilerinin tehlikeye atılmasına karşı savunmasız haldeler.