Chrome-Erweiterung stiehlt private Schlüssel von Krypto-Geldbörsen

Google hat eine Erweiterung für seinen Browser Chrome aus dem offiziellen Chrome Web Store entfernt, nachdem ein Sicherheitsforscher Schadcode darin entdeckte. Betroffen ist das Add-on Shitcoin Wallet. Die Geldbörse dient ihrem Entwickler zufolge eigentlich der Verwaltung der Kryptowährung Ether. Sie soll auch auf Ethereum ERC20 basierende Tokens unterstützen, die normalerweise für Initial Coin Offerings, also neu ausgegebene Ethereum-Coins verwendet werden.

Laut einer Analyse von Harry Denley, Director of Security bei MyCrypto, soll die Browsererweiterung jedoch Schadcode enthalten. Er stellte fest, dass Shitcoin Wallet die privaten Schlüssel aller über das Interface der Erweiterung erstellten oder verwalteten Geldbörsen an die Website „erc20wallet.tk“ übermittelt. Darüber hinaus soll Shitcoin Wallet beim Besuch bestimmter Plattformen für die Verwaltung von Kryptowährungen schädlichen JavaScript-Code einschleusen, um deren Anmeldedaten und privaten Schlüssel zu stehlen. Auch diese Information werden an die fragliche Website übermittelt.

Den schädlichen JavaScript-Code bezieht die Erweite4rung ebenfalls von besagter Domain. Durch Code-Verschleierung soll zudem verhindert werden, dass Sicherheitslösungen die unlauteren Absichten der Erweiterung erkennen.

Inzwischen wurde Shitcoin Wallet aus dem Chrome Web Store entfernt – Neujahr war die Erweiterung indes noch in Googles offiziellem Marktplatz erhältlich. Demnach wurde sie bisher mehr als 600-mal installiert.

Unklar ist, ob der schädliche Code vom Entwickler der Erweiterung eingefügt wurde oder ob Dritte die Erweiterung kompromittierten. Vom Herausgeber von Shitcoin Wallet liegt bisher noch keine Stellungnahme vor. Zudem werden die schädlichen JavaScript-Dateien, die die Erweiterung einschleust, laut Virustotal bisher nicht von Sicherheitslösungen erkannt.

Shitcoin Wallet ist nicht nur als Erweiterung für Chrome, sondern auch als Desktop-App für Windows erhältlich. Kommentare, die im Telegram-Channel der App hinterlassen wurden, legen die Vermutung nahe, dass auch die Desktop-Version ähnlichen oder gar noch gefährlicheren Schadcode enthält.