L'extension Chrome malveillante "Safery: Ethereum Wallet" dérobe les phrases de récupération des utilisateurs

Résumé Exécutif

Une extension Chrome malveillante, identifiée comme "Safery: Ethereum Wallet", compromet activement la sécurité des utilisateurs en dérobant les phrases de récupération des portefeuilles de cryptomonnaies. Découverte par l'équipe de recherche sur les menaces de Socket, l'extension se faisait passer pour un portefeuille Ethereum sécurisé légitime sur le Chrome Web Store, employant une méthode sophistiquée pour exfiltrer des données utilisateur sensibles via la blockchain Sui.

L'Événement en Détail

L'extension "Safery: Ethereum Wallet" a été téléchargée sur le Chrome Web Store le 29 septembre 2025 et a reçu sa dernière mise à jour le 12 novembre 2025. Malgré ses fonctionnalités malveillantes, elle est restée disponible au téléchargement et a été faussement commercialisée comme un portefeuille Ethereum sécurisé, apparaissant même comme le quatrième résultat de recherche pour "Ethereum Wallet", gagnant ainsi en visibilité aux côtés de portefeuilles légitimes comme MetaMask et Enkrypt. La déclaration de confidentialité de l'extension affirmait faussement qu'aucune donnée utilisateur n'était collectée et que les clés privées restaient sur l'appareil, ce qui contredisait directement son fonctionnement réel.

Le mécanisme d'exfiltration implique un processus en plusieurs étapes. Lorsqu'un utilisateur crée ou importe un portefeuille, l'extension encode son mnémonique BIP-39 (phrase de récupération) dans une ou deux adresses de style Sui synthétiques. Elle envoie ensuite des micro-transactions de 0.000001 SUI à ces adresses encodées en utilisant le mnémonique d'un acteur malveillant codé en dur. Ce processus dissimule efficacement la phrase de récupération volée au sein de transactions blockchain apparemment normales. L'attaquant surveille ensuite la blockchain Sui, décode les adresses des destinataires à partir de ces micro-transactions et reconstruit la phrase de récupération originale. Avec le mnémonique récupéré, les attaquants peuvent instantanément dupliquer les portefeuilles des utilisateurs, dériver les clés privées Ethereum et transférer des actifs sans que l'utilisateur n'en ait connaissance, ce qui entraîne une compromission complète des actifs cryptographiques affectés.

Implications sur le Marché

Cet incident a des implications significatives pour l'écosystème Web3 au sens large et la confiance des utilisateurs dans les applications décentralisées et les portefeuilles crypto basés sur navigateur. La nature trompeuse de l'attaque, tirant parti de la légitimité du Chrome Web Store, souligne les vulnérabilités dans la surveillance des plateformes et le potentiel d'attaques de la chaîne d'approvisionnement. De telles exploitations peuvent éroder la confiance des utilisateurs dans la sécurité des actifs numériques, entravant potentiellement l'adoption plus large des technologies Web3 par les entreprises et les particuliers.

Commentaire d'Expert

L'équipe de recherche sur les menaces de Socket, qui a découvert l'extension malveillante, a rapidement demandé à Google de supprimer l'extension et de suspendre le compte de l'éditeur, lié à kifagusertyna@gmail[.]com. Les experts en sécurité conseillent aux utilisateurs d'installer les portefeuilles de navigateur exclusivement auprès d'éditeurs vérifiés et de surveiller méticuleusement les extensions pour toute invocation de blockchain suspecte. Socket recommande également l'intégration de plateformes robustes de protection des extensions Chrome pour faire respecter les listes blanches d'installation, signaler les permissions risquées et détecter les schémas d'exfiltration cachés avant que les extensions n'atteignent les navigateurs des utilisateurs finaux.

Contexte Plus Large

Cet événement met en lumière une tendance continue d'attaques sophistiquées de la chaîne d'approvisionnement ciblant les navigateurs web des utilisateurs, souvent opérant à une échelle considérable. La technique d'intégration de données exfiltrées dans les transactions blockchain représente une méthode avancée pour contourner les mesures de sécurité traditionnelles. L'incident sert de rappel critique du besoin continu de vigilance dans l'espace des actifs numériques et de l'importance de l'examen minutieux des logiciels, en particulier des extensions de navigateur, qui interagissent avec des clés cryptographiques sensibles.