A extensão Safery se passava por carteira de Ethereum, codificava frases mnemônicas como endereços Sui falsos e enviava microtransações para permitir a reconstrução das sementes pelo operador.
| Componente | Extensão do Chrome chamada Safery: Ethereum Wallet, anunciada como carteira de Ethereum para gerenciamento de criptoativos. |
| Vetor | Instalação de uma extensão maliciosa pelo usuário e exposição da frase mnemônica durante uso, importação ou criação de carteira no navegador. |
| Impacto | Exfiltração de frases-semente por meio de endereços Sui sintéticos, permitindo que o operador reconstrua a frase e tente drenar ativos da carteira. |
| Prioridade | Remover a extensão, revisar carteiras que tiveram frases inseridas nela, migrar fundos para novas sementes confiáveis e monitorar chamadas RPC inesperadas do navegador. |
| Artefatos | Codificadores de mnemônicos, geradores de endereços Sui sintéticos, carteira Sui controlada pelo operador e microtransações de 0.000001 SUI. |
| Mitigação | Bloquear extensões que gravam na blockchain durante importação ou criação de carteira e tratar chamadas RPC de blockchain inesperadas como sinal de alta prioridade. |
Uma extensão maliciosa para Chrome identificada como Safery: Ethereum Wallet foi usada para roubar frases-semente de carteiras Ethereum sem depender de um servidor tradicional de comando e controle. O complemento se apresentava como uma carteira segura para gerenciamento de Ethereum, mas continha uma rotina de backdoor voltada à captura de frases mnemônicas. A extensão foi carregada na Chrome Web Store em 29 de setembro de 2025, recebeu atualização em 12 de novembro de 2025 e acabou registrada como indisponível para download na loja. A presença anterior na loja oficial é relevante porque reduz a percepção de risco do usuário e desloca parte da detecção para análise comportamental da extensão, não apenas para reputação do canal de distribuição.
O ponto técnico central é a forma de exfiltração. Em vez de enviar a frase-semente para um domínio, endpoint HTTP ou infraestrutura C2 própria, o código malicioso codificava a mnemônica em endereços Sui falsos e fazia microtransações na blockchain Sui. Cada transação enviava 0.000001 SUI a endereços que, na prática, funcionavam como contêineres para partes da informação roubada. Com a transação gravada em uma blockchain pública, o operador poderia observar os destinatários, decodificar os endereços e reconstruir a frase original. Esse desenho torna frágeis detecções baseadas somente em domínio, URL, endereço IP ou identificador específico de extensão, porque a telemetria crítica aparece como atividade blockchain originada do navegador.
A cadeia começa quando o usuário instala a extensão acreditando estar adicionando uma carteira Ethereum legítima. A precondição mais sensível é a exposição de uma frase mnemônica à extensão, o que pode ocorrer em fluxos de importação ou criação de carteira. A partir desse ponto, a rotina maliciosa não precisa abrir uma sessão visível com um servidor de coleta. Ela transforma a frase-semente em dados embutidos em endereços Sui sintéticos e usa uma carteira Sui controlada pelo operador para transmitir microtransações para esses endereços. O valor financeiro da transação é mínimo, mas o valor operacional está no metadado inferido dos destinatários e na possibilidade de recuperar a semente depois.
Essa técnica usa a blockchain como canal de transporte e armazenamento observável. Para a defesa, isso altera o modelo de detecção: não basta procurar requisições para domínios recém-criados, endpoints suspeitos ou padrões clássicos de beaconing. O comportamento de risco é uma extensão de carteira Ethereum gerando endereços associados a outra rede e realizando chamadas RPC ou gravações on-chain que não fazem sentido para a promessa funcional do produto. O uso de Sui como meio de exfiltração também dá flexibilidade ao operador, porque o mesmo conceito pode ser adaptado para outras redes ou endpoints RPC com pouca mudança na lógica geral. Por isso, controles rígidos por lista de domínios tendem a cobrir apenas uma parte do problema.
A superfície afetada envolve usuários de navegador que instalaram a extensão Safery: Ethereum Wallet e inseriram, importaram ou geraram frases-semente por meio dela. O risco não está limitado ao perfil local do Chrome, porque a frase mnemônica é o material raiz para controle de uma carteira. Se uma semente foi exposta, a remoção da extensão reduz novas coletas, mas não invalida o segredo já comprometido. A contenção precisa considerar a migração de ativos para uma nova carteira gerada em ambiente confiável, além da revisão de carteiras, contas e extensões que tiveram contato com a mesma semente.
Ambientes corporativos com usuários autorizados a instalar extensões também devem tratar o caso como exposição de segredo no endpoint. Mesmo quando a organização não opera criptoativos como parte do negócio, extensões de carteira podem aparecer em estáções de desenvolvedores, equipes de pesquisa, finanças, Web3, threat intel ou laboratórios. A capacidade de uma extensão gravar em blockchain durante um fluxo que deveria ser local ou restrito à carteira amplia o risco de perda de ativos pessoais e institucionais, além de indicar uma técnica de exfiltração que pode inspirar abuso contra outros tipos de segredos digitados no navegador.
- Usuários que instalaram
Safery: Ethereum Walleta partir da Chrome Web Store antes de sua indisponibilidade para download. - Frases mnemônicas digitadas, importadas ou geradas em fluxos controlados pela extensão maliciosa.
- Perfis de navegador com extensões de carteira capazes de iniciar chamadas RPC ou transações on-chain fora do comportamento esperado.
- Estáções em que políticas de extensão permitem instalação sem revisão de permissões, código e comportamento de rede.
A investigação deve começar pela presença da extensão nos navegadores, histórico de instalação e eventos de atualização próximos a 29 de setembro e 12 de novembro de 2025. Em seguida, a telemetria de rede e endpoint deve ser revisada para chamadas RPC de blockchain feitas pelo processo do navegador ou por extensões de carteira em momentos de criação ou importação de carteira. O sinal mais forte é a discrepância entre a finalidade declarada da extensão, voltada a Ethereum, e interações com a rede Sui, especialmente quando há gravação on-chain ou transações de valor mínimo associadas ao fluxo de carteira.
Na análise estática ou dinâmica de extensões, defensores devem procurar rotinas de codificação de mnemônicos, geração de endereços sintéticos, carteiras hard-coded e lógica de transmissão de microtransações. O objetivo não é reproduzir a técnica, mas identificar padrões que não pertencem a uma carteira legítima. Em ambientes gerenciados, logs de inventário de extensões, eventos do navegador, proxy, EDR e DNS podem ajudar a correlacionar instalação, abertura da extensão, chamadas RPC e alterações em saldo de carteiras. Como a técnica pode trocar rede e endpoint com facilidade, a regra de hunting deve privilegiar comportamento e contexto funcional, não apenas indicadores fixos.
- Instalação ou atualização de
Safery: Ethereum Walletem perfis do Chrome. - Chamadas RPC de blockchain originadas do navegador durante importação ou criação de carteira.
- Atividade Sui associada a uma extensão anunciada como carteira Ethereum.
- Microtransações de
0.000001 SUIem sequência ou para endereços com padrão sintético. - Código de extensão contendo codificadores de frases mnemônicas, geradores de endereços e carteira controlada por operador.
A resposta deve tratar qualquer frase-semente inserida na extensão como comprometida. A primeira ação é remover a extensão dos perfis afetados e bloquear sua reinstalação por política de navegador. Em seguida, os ativos ligados às sementes expostas devem ser movidos para carteiras novas, criadas fora do ambiente suspeito e com extensões confiáveis. Apenas revogar permissões ou desinstalar o complemento não reverte a exposição da mnemônica, porque o operador pode reconstruí-la a partir das transações já registradas na blockchain.
Para reduzir recorrência, organizações devem manter uma lista permitida de extensões de carteira, exigir revisão de permissões e analisar comportamento de extensões que lidam com segredos. A detecção deve bloquear ou alertar quando uma extensão grava na blockchain durante importação ou criação de carteira, quando uma carteira de cadeia única interage com outra rede sem justificativa funcional, ou quando há presença de carteira hard-coded em código de extensão. Em fluxos de segurança de navegador, chamadas RPC inesperadas devem ser tratadas como telemetria de alta relevância, principalmente quando partem de complementos que solicitam acesso a material sensível.
- Remover
Safery: Ethereum Walletde todos os perfis e impedir nova instalação por política corporativa. - Considerar comprometidas as sementes inseridas na extensão e migrar fundos para carteiras geradas novamente em ambiente confiável.
- Revisar extensões que manipulam frases mnemônicas em busca de codificadores, geradores de endereços sintéticos e carteiras hard-coded.
- Alertar para chamadas RPC e gravações on-chain feitas pelo navegador em fluxos de importação ou criação de carteira.
- Preferir extensões de carteira verificadas, com procedência clara e comportamento compatível com a cadeia que declaram suportar.
0 Comentários