Fałszywa wtyczka TronLink. Gdy przeglądarka staje się portfelem atakującego

2026-05-12

TL;DR

Fałszywa wtyczka podszywająca się pod TronLink pokazuje, że phishing nie musi już wyglądać jak wiadomość e-mail. Może wyglądać jak rozszerzenie przeglądarki, które użytkownik sam instaluje, bo ufa nazwie, ikonie, liczbie użytkowników i opiniom w sklepie.

W opisanej kampanii przestępcy wykorzystali fałszywe rozszerzenie Chrome Manifest V3, które udawało narzędzie związane z ekosystemem TRON. Manifest V3 to aktualny model budowy rozszerzeń Chrome, określający między innymi uprawnienia, sposób działania skryptów i komunikację dodatku z przeglądarką. Sam fakt użycia MV3 nie oznacza zagrożenia. Problemem było to, że złośliwe rozszerzenie wykorzystywało zaufany format do podszycia się pod portfel kryptowalutowy.

Po kliknięciu w ikonę wtyczki użytkownik widział interfejs przypominający portfel. W tle działał zdalnie ładowany phishingowy ekran, który przechwytywał frazy seed, klucze prywatne, pliki keystore i hasła, a następnie przekazywał je atakującym przez Telegram.

To temat nie tylko dla użytkowników kryptowalut. Dla firm to przypomnienie, że przeglądarka stała się jednym z najważniejszych miejsc pracy, a rozszerzenia są częścią powierzchni ataku.

Zaufanie do sklepu z rozszerzeniami nie wystarcza

Wielu użytkowników traktuje Chrome Web Store jak bezpieczną przestrzeń. Jeśli rozszerzenie wygląda profesjonalnie, ma nazwę podobną do znanej marki, wysoką ocenę i dużą liczbę instalacji, czujność spada. W tej kampanii właśnie ten mechanizm był szczególnie ważny.

Opisane źródła wskazują, że fałszywe rozszerzenie mogło wyglądać jak narzędzie o dużej popularności, z wysoką oceną i pozornie silną reputacją. Użytkownik nie podejmował więc decyzji w próżni. Widział sygnały zaufania, które zwykle pomagają odróżnić aplikację wiarygodną od podejrzanej.

Problem polega na tym, że reputacja w sklepie nie zawsze mówi prawdę o aktualnym zachowaniu rozszerzenia. Jeżeli wpis zostanie przejęty, przebrandowany albo wykorzystany do ładowania zdalnej zawartości, użytkownik może patrzeć na historię zaufania, a nie na realne ryzyko.

To ważna lekcja dla firm. Nie wystarczy powiedzieć pracownikom, żeby instalowali dodatki tylko z oficjalnego sklepu. To dobry początek, ale nie pełna kontrola. Rozszerzenie z oficjalnego miejsca nadal może mieć nadmierne uprawnienia, zmienione zachowanie albo zdalnie ładowany interfejs.

Zdalny interfejs zmienia zasady gry

Najciekawszy element techniczny tej kampanii dotyczy zdalnie ładowanego interfejsu. Sama wtyczka nie musi zawierać całej logiki kradzieży danych w widocznej statycznej postaci. Po uruchomieniu może sprawdzić dostępność serwera i załadować ekran kontrolowany przez atakującego.

Dla tradycyjnej oceny rozszerzeń to problem. Analiza statyczna widzi jedno, a użytkownik po instalacji doświadcza czegoś innego. Atakujący może zmieniać interfejs, backend i zachowanie bez publikowania nowej wersji rozszerzenia. To utrudnia wykrycie, skraca czas reakcji obrońców i pozwala testować warianty.

W praktyce użytkownik widzi portfel, formularz importu i znany układ. Nie widzi, że dane wpisywane do formularza są pakowane i przesyłane do infrastruktury atakującego.

W przypadku portfeli kryptowalutowych skutki są szczególnie poważne. Fraza seed i klucz prywatny nie są zwykłym hasłem, które da się zresetować. To dostęp do środków. Jeśli zostaną przejęte, portfel należy traktować jak spalony.

Homoglify, Unicode i fałszywa marka

W kampanii pojawiły się też techniki podszywania się pod nazwę marki z użyciem znaków podobnych wizualnie. To mogą być znaki cyrylicy, specjalne znaki Unicode albo inne elementy, które dla człowieka wyglądają jak właściwa nazwa, ale dla systemu są innym ciągiem znaków.

To stary problem w nowym opakowaniu. W domenach internetowych znamy go z homografów, czyli adresów podobnych wizualnie do prawdziwych. Tutaj podobny mechanizm przenosi się do nazwy rozszerzenia. Człowiek widzi coś, co wygląda znajomo, a dopiero dokładna analiza pokazuje różnicę.

Dla awareness to ważna lekcja: samo spojrzenie na nazwę nie wystarcza, zwłaszcza gdy chodzi o narzędzie obsługujące pieniądze, dane logowania albo dostęp do usług firmowych.

W Polsce podobny scenariusz nie musiałby dotyczyć wyłącznie kryptowalut. Fałszywe rozszerzenie mogłoby udawać narzędzie do faktur, podpisu elektronicznego, obsługi marketplace, tłumaczeń, eksportu danych, CRM, poczty, zakupów albo panelu SaaS. Jeśli użytkownik zaufa nazwie i zainstaluje dodatek, przeglądarka może stać się punktem wejścia do incydentu.

Dlaczego ten temat dotyczy firm

Na pierwszy rzut oka to atak na użytkowników kryptowalut. W rzeczywistości mechanizm ma znacznie szersze znaczenie. Wtyczka przeglądarki może mieć dostęp do stron, formularzy, sesji, danych wprowadzanych przez użytkownika i lokalnych zasobów przeglądarki. W środowisku firmowym rozszerzenia mogą dotykać poczty, CRM, paneli SaaS, dokumentów, systemów HR, narzędzi finansowych i aplikacji developerskich.

Jeżeli firma nie kontroluje rozszerzeń, oddaje część bezpieczeństwa decyzjom użytkowników. A użytkownik może kierować się nazwą, oceną, wygodą albo wynikiem wyszukiwania w sklepie. To za mało.

Warto połączyć ten temat z szerszym tekstem o phishingu opartym o legalne platformy i zaufane środowiska. W obu przypadkach atakujący nie buduje zaufania od zera. Nadużywa miejsca, któremu użytkownik już ufa.

Co powinien zrobić użytkownik

Jeżeli ktoś zainstalował fałszywe rozszerzenie i wpisał w nim frazę seed, klucz prywatny, plik keystore albo hasło, nie powinien czekać. Taki portfel trzeba traktować jako całkowicie przejęty. Środki należy przenieść do nowego portfela utworzonego na zaufanym urządzeniu, a starych danych nigdy więcej nie używać.

Sama deinstalacja rozszerzenia nie odwraca szkody. Jeśli tajemnica portfela została wysłana atakującemu, jest stracona. W kryptowalutach nie ma helpdesku, który cofnie przelew wykonany po przejęciu kluczy.

W przypadku firmowej przeglądarki trzeba zgłosić sprawę do IT lub Security. Nawet jeśli atak dotyczył prywatnego portfela, złośliwe rozszerzenie mogło działać w tym samym profilu przeglądarki, w którym użytkownik korzystał z poczty, systemów SaaS albo aplikacji firmowych.

Co powinna zrobić organizacja

Firmy powinny traktować rozszerzenia przeglądarki jak oprogramowanie instalowane na endpointach. W praktyce oznacza to listy dozwolonych rozszerzeń, blokowanie niezatwierdzonych dodatków, monitorowanie zmian w popularnych rozszerzeniach, analizę uprawnień i kontrolę ruchu sieciowego generowanego przez przeglądarkę.

Warto też zwracać uwagę na rozszerzenia, które ładują zdalne interfejsy, komunikują się z nietypowymi domenami, używają Telegrama jako kanału odbioru danych albo nagle zmieniają nazwę, ikonę i zachowanie. To nie zawsze oznacza incydent, ale powinno uruchamiać weryfikację.

W testach phishingowych dla firm warto wyjść poza mail. Przeglądarka, sklep z dodatkami i fałszywa aplikacja webowa to dziś równie realistyczne scenariusze jak klasyczny link w wiadomości.

Wniosek

Fałszywa wtyczka TronLink przypomina, że phishing przesuwa się do miejsc, które użytkownik traktuje jako techniczne i zaufane. Nie trzeba już tylko kliknąć w maila. Wystarczy zainstalować rozszerzenie, które wygląda jak znane narzędzie i prosi o dane w dobrze podrobionym interfejsie.

Dobra obrona zaczyna się od zmiany założenia: przeglądarka nie jest neutralnym oknem do internetu. Jest środowiskiem pracy, portfelem, panelem do SaaS, narzędziem do logowania i miejscem, w którym atakujący może przejąć decyzję użytkownika.