В официальном магазине Chrome Web Store обнаружено активное вредоносное расширение, которое под видом инструмента для работы с цветом и кошельком imToken перенаправляет пользователей на фишинговые сайты для кражи сид-фраз и приватных ключей. Несмотря на явно мошеннический характер, расширение остаётся доступным для установки, что подчёркивает сохраняющиеся проблемы с фильтрацией контента в крупных магазинах приложений.
Описание
Угроза сфокусирована на пользователях криптовалют, что делает её особенно опасной с финансовой точки зрения. В отличие от атак, нацеленных на кражу логинов и паролей, компрометация сид-фразы или приватного ключа ведёт к мгновенному и полному захвату контроля над кошельком и всеми активами в нём. Исследователи кибербезопасности из Socket обнаружили расширение с идентификатором "bbhaganppipihlhjgaaeeeefbaoihcgi", которое было опубликовано 2 февраля 2026 года. На момент публикации новости оно всё ещё доступно в магазине, имеет 39 еженедельно активных пользователей и снабжено пятизвёздочными отзывами, что повышает доверие потенциальных жертв.
Расширение замаскировано под инструмент визуализации hex-кодов цветов с названием «lmΤoken Chromophore». Однако его реальная функциональность сводится к простому, но эффективному редиректу. Сразу после установки, а также при каждом последующем клике по иконке, расширение автоматически открывает новую вкладку, ведущую на фишинговый сайт. Конечный URL-адрес для перенаправления расширение получает с удалённого endpoint (конечной точки) на сервисе JSONKeeper, что позволяет злоумышленникам гибко менять цель атаки без необходимости обновления самого расширения в магазине.
Фишинговый сайт, на который попадает жертва, является точной копией страницы импорта кошелька imToken. Для усложнения обнаружения в названии сайта и элементах интерфейса используются homoglyph-атаки - техника смешения символов из разных алфавитов (например, кириллических и греческих букв), визуально неотличимых от латинских. Это позволяет обходить простые текстовые фильтры как автоматических систем безопасности, так и при беглом визуальном осмотре. Сайт предлагает пользователю стандартный, на первый взгляд, процесс восстановления кошелька, запрашивая либо сид-фразу из 12 или 24 слов, либо приватный ключ.
Важно отметить, что сама компания imToken предупреждает в своём январском уведомлении по безопасности за 2026 год, что официально она не выпускала расширений для браузера Chrome, а её продукт доступен только в виде мобильного приложения. Мошенники активно используют этот разрыв, создавая поддельные десктопные инструменты для популярного некастодиального кошелька, который обслуживает более 20 миллионов клиентов по всему миру.
После ввода критически важных данных фишинговый сценарий искусственно поддерживает иллюзию легитимности. Пользователю предлагается установить пароль для кошелька, что является стандартным шагом при импорте, затем отображается экран загрузки с сообщением об «обновлении». Финальным актом обмана становится автоматическое открытие в новой вкладке легитимного сайта token.im. Этот приём призван успокоить жертву и создать ложное впечатление, что весь процесс прошёл успешно и законно, в то время как конфиденциальная информация уже отправлена злоумышленникам.
Данный инцидент демонстрирует эволюцию фишинговых атак через магазины расширений. Вредоносная нагрузка всё чаще выносится за пределы самого расширения, которое выполняет роль лишь «троянского коня» или редиректора. Всё самое опасное - логика сбора данных и взаимодействие с жертвой - происходит на внешних, контролируемых атакующими доменах. Это затрудняет статический анализ кода расширения и требует от специалистов по безопасности более комплексного подхода, включающего мониторинг сетевой активности.
Для защиты от подобных угроз организациям и частным пользователям рекомендуется ужесточить политики установки расширений в корпоративных и личных браузерах, особенно тех, что используются для работы с криптоактивами. Любое программное обеспечение, связанное с управлением ключами или кошельками, должно устанавливаться исключительно с официальных сайтов разработчиков. Следует проявлять повышенную бдительность к расширениям, основная заявленная функция которых не соответствует их реальному поведению, например, к «инструментам для дизайнеров», которые активно открывают внешние сайты. В случае, если есть подозрение, что сид-фраза или приватный ключ могли быть скомпрометированы, единственной эффективной мерой является немедленная передача активств на новый, безопасно созданный кошелёк.
Индикаторы компрометации
Malicious Chrome extension
- Extension name: lmΤoken Chromophore
- Extension ID: bbhaganppipihlhjgaaeeeefbaoihcgi
- Version analyzed: 4.9.5
- Store listing: https://chromewebstore.google.com/detail/lm%CF%84oken-chromophore/bbhaganppipihlhjgaaeeeefbaoihcgi
Threat Actor-Controlled Configuration Endpoint
https://www.jsonkeeper.com/b/KUWNE
Threat Actor’s Publisher email
- liomassi19855@gmail.com
Phishing Infrastructure
- Primary Redirect Page: https://chroomewedbstorre-detail-extension.com/detail-bbhaganppipihlhjgaaeeeefbaoihcgi
- Mnemonic Capture Page: https://chroomewedbstorre-detail-extension.com/detail-bbhaganppipihlhjgaaeeeefbaoihcgi/S%D0%B5%D0%B5d-Phrase/
- Private Key Capture Page: https://chroomewedbstorre-detail-extension.com/detail-bbhaganppipihlhjgaaeeeefbaoihcgi/Private-Key/
External Phishing Infrastructure
- Script Host: https://compute-fonts-appconnect.pages.dev
- Mnemonic Handling Script: https://compute-fonts-appconnect.pages.dev/sjcl-bip39.js
- Wordlist Script: https://compute-fonts-appconnect.pages.dev/wordlist_english.js
- BIP39 Helper Script: https://compute-fonts-appconnect.pages.dev/jsbip39.js
- Form Processing Script: https://compute-fonts-appconnect.pages.dev/formScript.js
