研究人员发现一个名为Shitcoin Wallet的Google Chrome扩展程序正在窃取密码和钱包私钥。

一款Chrome名为Shitcoin Wallet的扩展被发现在网页上注入了JavaScript代码，从加密货币钱包及门户网站窃取密码和私钥。

该Chrome扩展的ID为ckkgmccefffnbbalkmbbgebbojjogffn。

据介绍，Shitcoin Wallet被用于管理以太币（ETH），也可以管理基于以太坊的代币。如果用户担心浏览器的高风险环境，则可安装Windows桌面应用。

近日，该钱包的扩展和应用程序被发现均包含恶意JavaScript代码，带给用户两种危险。

一种是该扩展管理的任何资金都处在风险中，另一方面是该扩展会通过创建的特殊接口将私钥和登录密码发送到第三方网站。

根据分析，研究人员发现其攻击过程如下：

• 用户安装Chrome扩展程序

• 该扩展程序请求在77个网站上注入JavaScript（JS）代码的权限

• 当用户导航到这77个站点的任意一个时，扩展程序都会从以下位置加载并注入其他JS文件。
  

• 该JS文件包含混淆的代码
  

• 该代码激活五个网站：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，并Switcheo.exchange
  

• 一旦激活，恶意JS代码就会记录用户的登录凭据，并搜索在这五个站点中的私钥，最终将数据发送给攻击者。
  

目前，该扩展程序仍可通过官方Google Chrome Web Store下载。

不止如此，该应用程序可以逃过防病毒软件的扫描和检测，但从用户评论可以看出，该应用程序和扩展包含相似的恶意代码。

近年来，加密货币被盗事件频频发生，其中最主要的原因就是账户信息不够安全。于是越来越多的人选择使用钱包帮助自己管理虚拟资产。

又一个管理虚拟货币的软钱包的倒下，让人不禁思考：把资产交给软件管理是否靠谱？对于虚拟货币的管理，究竟是要选择硬件钱包还是软件钱包呢？

总结已发生的事件我们可以发现，不管是交易所被盗还是个人账户被盗，交易频次多和账号信息保存在网络上都是两个重要因素。

软件钱包虽然使用起来方便，但由于信息连接网络，免不了会遭受黑客攻击，安全系数低。

硬钱包隔绝了网络，用U盘或电脑存储加密货币私钥，让加密资产更安全，从这方面来看，硬钱包的安全性比软钱包高上几个数量级，但并非所有硬钱包都是安全的，不管是国内产品还是国外产品皆是如此。

总而言之，金融科技的浪潮下，没有人可以拥有无懈可击的安全体验，潜在风险始终存在，但是随着加密领域的不断发展，科学技术的日新月异，作为普通用户的我们，通过学习新知识，总结旧经验，依然能避免许多潜在风险。

* 本文由看雪编辑 LYA 编译自 ZDNet，转载请注明来源及作者。

* 原文链接：