Une fausse extension Chrome baptisée « Safery: Ethereum Wallet » a été récemment découverte sur le Chrome Web Store. Derrière une apparence de portefeuille sécurisé, cette extension malveillante sert en réalité à voler les phrases mnémotechniques des portefeuilles Ethereum de ses utilisateurs. Grâce à une technique d’exfiltration innovante basée sur la blockchain Sui, les cybercriminels peuvent siphonner les fonds sans mettre en place un serveur de commande et de contrôle. Si vous faites une recherche sur « extension Chrome Ethereum piratée », « vol phrase de récupération Ethereum » ou « arnaque extension crypto », cet article vous éclaire sur cette nouvelle menace.
Une extension Chrome malveillante toujours en ligne
Un faux portefeuille mais un vrai malware
Détectée par le chercheur en cybersécurité Kirill Boychenko de Socket, l’extension « Safery: Ethereum Wallet » est présentée comme un outil simple et sécurisé pour gérer des cryptomonnaies via un portefeuille Ethereum. Elle a été mise en ligne sur le Chrome Web Store le 29 septembre 2025 et a été mise à jour pour la dernière fois le 12 novembre. Au moment de la rédaction, elle est toujours disponible au téléchargement, exposant potentiellement des milliers d’utilisateurs à un vol de leurs cryptomonnaies.
Une porte dérobée pour siphonner les phrases secrètes
L’objectif de cette extension n’est pas simplement de fonctionner comme un portefeuille. Elle contient une porte dérobée intégrée qui encode la phrase de récupération dans de fausses adresses sur la blockchain Sui. Ces adresses sont ensuite utilisées dans des microtransactions pour y injecter les données secrètes sans éveiller les soupçons.
Une méthode d’exfiltration basée sur la blockchain Sui
Des microtransactions comme moyen de communication
Le mécanisme est malin : l’extension envoie 0.000001 SUI à des adresses générées dynamiquement à partir des phrases mnémotechniques. Ces adresses sont créées à partir d’un algorithme dans l’extension et appartiennent toutes à un portefeuille contrôlé par le pirate. Une fois les données sur la chaîne, le pirate n’a qu’à observer les transactions, décoder les adresses et ainsi reconstituer la phrase de récupération.
Une technique furtive qui contourne les systèmes de détection
Cette méthode permet aux attaquants de se passer de serveurs C2 traditionnels. Boychenko explique que les appels RPC inattendus depuis un navigateur, surtout si le produit ne prétend utiliser qu’une seule blockchain, doivent être vus comme un signal d’alerte. Le code malveillant évolue facilement d’une chaîne à une autre, rendant les systèmes de détection classiques inefficaces.
Recommandations pour les utilisateurs et les défenseurs
Éviter les extensions non vérifiées
Face à ces menaces, les experts recommandent aux utilisateurs de se limiter à des extensions de portefeuilles reconnues et vérifiées. La présence d’encodeurs mnémotechniques, de générateurs d’adresses synthétiques ou de phrases de récupération codées à l’intérieur d’une extension doit alerter.
Mesures à adopter pour les professionnels de la cybersécurité
Les professionnels doivent identifier les comportements suspects : transactions écrites sur la chaîne lors de la création ou l’import d’un portefeuille, appels RPC depuis une seule extension ou adresses statiques codées en dur. Utiliser des outils de reverse engineering devient une compétence clé, tout comme illustré dans notre livre pour hacker, une ressource complète pour apprendre à hacker et comprendre les modes opératoires utilisés par les attaquants.
Pour minimiser ces risques et améliorer la cyber-résilience de votre entreprise, les solutions de cybersécurité de CyberCare incluent l’analyse, le durcissement et la surveillance des extensions navigateur dans vos systèmes métiers.
