威胁分析:仿冒 TronLink 的 Chrome 扩展钓鱼攻击链深度拆解
查找币:余老师
|
漏洞披露
|
2026-06-03 04:00
|
1 次浏览
|
0 条回复
查找币
漏洞披露
安全研究
Web3安全
区块链安全
## 背景概述
近日,查找币安全团队通过自主研发的 **查找币监控系统** 捕获到一例针对 TRON 钱包用户的高危钓鱼攻击样本。该恶意扩展伪装为与 TRON 生态相关的 Chrome MV3 (Manifest V3) 扩展,利用**品牌冒充 + 远程可变 UI 装载**的组合技术,构建了一条完整的钱包凭据窃取链。攻击者通过仿冒 TronLink 品牌,诱导用户安装恶意扩展,进而窃取助记词、私钥及 Keystore 文件。
查找币监控系统在检测到该攻击后,已触发高危告警并同步推送至相关客户。本文将对该攻击样本的技术细节进行详细拆解,并提供防御建议。
---
## 攻击链总览
该钓鱼攻击分为两层:
1. **第一层:仿冒 TronLink 的 Chrome 扩展**
利用 Unicode 方向控制字符与西里尔字母同形字伪装品牌名称,在用户安装后优先加载远程 iframe 作为 popup 界面。
2. **第二层:远程钓鱼页面**
完整仿造 TronLink Wallet 网页钱包 UI 与功能,在用户无感知的情况下收集助记词、私钥、Keystore 文件及密码,并通过同源 API 和 Telegram Bot 外传。
由于静态扩展包审查无法覆盖远程 iframe 的后续界面行为,该攻击具备极强的隐蔽性。
---
## 恶意扩展深度分析
### 1. 品牌伪装与防御规避
该恶意扩展的 `manifest.json` 通过 Chrome 国际化机制将扩展名称和标题指向 locale 消息文件。在 `_locales/en/messages.json` 中,攻击者使用了 **Unicode 双向控制字符** 和 **西里尔同形字** 构造字符串:
```
T\u202Enor\u202CL\u0456\u202Ekn
```
该字符串在浏览器渲染层与官方 `TronLink` 品牌高度相似,属于面向 TRON 钱包用户的欺骗性分发行为。这种技术使得用户在 Chrome Web Store 页面中难以通过肉眼识别差异。
### 2. 商店信用继承
该恶意扩展在 Chrome Web Store 页面中展示“1,000,000+ 用户”和“4.5 分(353 个评分)”等数据。需要特别指出的是,这些数据**并非由扩展代码自行伪造**——Chrome Web Store 的用户数、评分和评论均绑定在扩展的 `item id` 上,随同一商店条目继承。
**攻击者极可能先控制了某个已有高装机量或高评分的合法扩展条目**,再上传新版本并替换名称、图标和描述,从而在商店页面呈现“百万用户、高评分”的可信外观,大幅降低受害者的警惕性。这是一种典型的**商店信誉劫持**手法。
### 3. 权限声明与攻击链设计
该扩展仅申请了 `storage` 权限,但同时在 `host_permissions` 中声明了对以下两个域名的访问权限:
- `https://tronfind-api.tronfindexplorer.com/*`:远程 popup 装载端点
- `https://api.trongrid.io/*`:本地备用查询逻辑
攻击者通过**最小权限声明**策略,刻意保持低调以规避 Chrome Web Store 的安全审查。
### 4. 远程 UI 装载攻击链
用户安装扩展后,点击扩展图标打开 popup 时触发以下攻击链:
1. **popup 入口** `src/popup/index.html` 加载主逻辑脚本 `assets/index.html-2KXeQB-c.js`
2. 脚本启动后优先通过 `fetch` 探测远程端点 `https://tronfind-api.tronfindexplorer.com/`
3. **若远程端点返回 HTTP 200**,脚本将 `tronfindapiAvailable` 设为 `true`,并将远程 URL 写入 `localStorage` 的 `tronfindapiURL` 键中
4. 扩展随后创建一个覆盖整个 popup 窗口的 `