Исследователи из Socket выявили вредоносное дополнение для браузера Google Chrome под названием Crypto Copilot, которое незаметно вычитает дополнительные платежи во время операций с криптоактивами в экосистеме Solana.

Это приложение маскируется под инструмент для мгновенных обменов прямо из ленты в социальной сети X, подключаясь к популярным хранилищам вроде Phantom и Solflare, а также показывая информацию о монетах из DexScreener.

С каждым свопом на платформе Raydium оно тайком вставляет вторую команду передачи, отправляя минимум 0,0013 SOL или 0,05% от сделки на адрес, контролируемый нападающим, при этом интерфейс кошелька не раскрывает деталей.

Запутанный код скрывает махинации, а маркетинг акцентирует "однокликовую" простоту и оперативность, без упоминания сборов.

С июня 2024 года расширение остается в Chrome Web Store, несмотря на жалобу от Socket в Google.