Популярное расширение MEGA.nz для Chrome похищает приватные ключи криптокошельков

Исследователь безопасности под псевдонимом SerHack обнаружил в расширении MEGA.nz для браузера Google Chrome, которое было загружено десятки миллионов раз по всему миру, вредоносный код, позволяющий злоумышленникам похищать пароли от учетных записей Google, Amazon, Microsoft и GitHub, а также приватные ключи кошельков для криптовалюты Monero и Ethereum.

Вредоносный функционал был обнаружен в исходном коде расширения облачного хранилища файлов MEGA.nz версии 3.39.4. Инженеры Google уже вмешались и удалили расширение из официального интернет-магазина Chrome, а также отключили расширение для существующих пользователей.

Согласно анализу источника расширения, вредоносный код запускается на таких сайтах, как Amazon, Google, Microsoft, GitHub, MyEtherWallet и MyMonero, а также платформе для обмена криптовалютами IDEX.

Рикардо Спаньи (Ricardo Spagni), известный разработчик Monero, подтвердил эту информацию, сказав своим подписчикам в Twitter, что приватные ключи Monero и Ethereum могут быть украдены с помощью приложения MEGA Chrome (версия 3.39.4).

Вредоносный код похищает имена пользователей, пароли и другие данные сеанса, необходимые злоумышленнику для авторизации. После сбора данных расширение затем отправляет всю конфиденциальную информацию на сервер megaopac[.]host, расположенный в Украине.

Пользователям Chrome, использовавшим расширение, рекомендуется просмотреть раздел «Расширения» браузера и убедиться, что MEGA.nz отключено, а также сменить пароли и переместить криптовалюту на новые кошельки.