Siber güvenlik araştırmacıları, meşru bir Ethereum cüzdanı gibi görünen ancak kullanıcıların temel ifadelerini sızdıracak işlevsellik barındıran kötü amaçlı bir Chrome uzantısını ortaya çıkardı.
Uzantının adı “Safery: Ethereum Wallet” olup, tehdit aktörü bunu “Ethereum kripto para birimini esnek ayarlarla yönetmek için güvenli bir cüzdan” olarak tanımlamaktadır. 29 Eylül 2025’te Chrome Web Mağazası’na yüklendi ve 12 Kasım gibi yakın bir tarihte güncellendi. Bu yazının yazıldığı an itibarıyla hâlâ indirilmeye hazır durumda.
Soket güvenlik araştırmacısı Kirill Boychenko, “Basit, güvenli bir Ethereum (ETH) cüzdanı olarak pazarlanan bu cüzdan, tohum cümlelerini Sui adreslerine kodlayarak ve tehdit aktörü tarafından kontrol edilen bir Sui cüzdanından mikro işlemler yayınlayarak sızdıran bir arka kapı içeriyor.” dedi.
Özellikle, tarayıcı eklentisinde bulunan kötü amaçlı yazılım, cüzdan anımsatıcı ifadelerini sahte Sui cüzdan adresleri olarak kodlayarak ve ardından mikro işlemler kullanarak bu cüzdanlara sabit kodlu tehdit aktörü tarafından kontrol edilen bir cüzdandan 0,000001 SUI göndererek çalmak üzere tasarlanmıştır.
Kötü amaçlı yazılımın nihai hedefi, bilgiyi almak için bir komuta ve kontrol (C2) sunucusu kurmaya gerek kalmadan, tohum ifadesini normal görünümlü blockchain işlemlerinin içine kaçırmaktır. İşlemler tamamlandıktan sonra tehdit aktörü, orijinal çekirdek ifadeyi yeniden oluşturmak ve sonuçta buradaki varlıkları boşaltmak için alıcı adreslerinin kodunu çözebilir.
Koi Security bir analizde, “Bu uzantı, cüzdan çekirdek ifadelerini sahte Sui adresleri olarak kodlayarak ve onlara saldırgan tarafından kontrol edilen bir cüzdandan mikro işlemler göndererek çalıyor, bu da saldırganın blok zincirini izlemesine, adreslerin kodunu tekrar tohum ifadelerine dönüştürmesine ve kurbanların fonlarını boşaltmasına olanak tanıyor.” diye belirtiyor.
Tehdidin oluşturduğu riske karşı koymak için kullanıcılara güvenilir cüzdan uzantılarını kullanmaları tavsiye ediliyor. Savunmacıların, anımsatıcı kodlayıcılar, sentetik adres oluşturucular ve sabit kodlanmış tohum ifadeleri için uzantıları taraması ve cüzdan içe aktarma veya oluşturma sırasında zincire yazanları engellemesi önerilir.
Boychenko, “Bu teknik, tehdit aktörlerinin çok az çaba harcayarak zincirleri ve RPC uç noktalarını değiştirmesine olanak tanıyor; dolayısıyla alan adlarına, URL’lere veya belirli uzantı kimliklerine dayanan algılamalar bunu kaçıracaktır” dedi. “Tarayıcıdan gelen beklenmeyen blockchain RPC çağrılarını, özellikle de ürün tek zincirli olduğunu iddia ettiğinde yüksek sinyal olarak değerlendirin.”