Une extension Chrome malveillante Solana a été découverte sur le Chrome Web Store.
Elle est capable d’injecter discrètement des frais cachés dans les swaps Raydium et de détourner une
partie des fonds vers un portefeuille contrôlé par un attaquant, sans que l’utilisateur ne s’en rende compte.

Une extension frauduleuse toujours disponible sur le Chrome Web Store

Des chercheurs en cybersécurité ont identifié l’extension Crypto Copilot comme étant à
l’origine de cette activité malveillante. Publiée le 7 mai 2024 par l’utilisateur « sjclark76 », elle se
présente comme un outil permettant de trader des cryptomonnaies directement sur X, avec des informations
en temps réel et une exécution fluide.

Malgré cette apparence légitime, l’extension ne compte que quelques installations, mais reste
disponible au téléchargement sur le Chrome Web Store. Cette présence officielle renforce la confiance
des utilisateurs, alors même qu’il s’agit d’une extension Chrome malveillante Solana.

Injection de frais Solana cachés dans les swaps Raydium

Selon le chercheur en sécurité Kush Pandya, Crypto Copilot injecte un transfert Solana supplémentaire
dans chaque transaction réalisée via Raydium. L’extension siphonne ainsi un minimum de
0,0013 SOL ou 0,05 % du montant de l’échange, automatiquement
redirigés vers un portefeuille codé en dur, contrôlé par l’attaquant.

Un code obscurci pour masquer le transfert furtif

Plus précisément, l’extension intègre un code obscurci qui s’active lorsque l’utilisateur effectue un
swap sur Raydium. Avant la demande de signature, l’extension ajoute une instruction
SystemProgram.transfer dans la transaction, ce qui permet d’inclure un transfert SOL non
divulgué dans la même opération signée.

Les frais volés sont calculés en fonction du montant échangé, avec un minimum de 0,0013 SOL pour les
petites transactions. Pour les échanges plus importants, l’extension applique un seuil d’environ
2,6 SOL, auquel s’ajoutent 0,05 % du montant du swap. Grâce à la minification,
au renommage de variables et à d’autres techniques d’obfuscation, cette activité reste difficile à
repérer pour l’utilisateur moyen.

Une communication avec un serveur externe suspect

L’extension malveillante ne se contente pas d’injecter des frais cachés. Elle communique aussi avec un
serveur distant hébergé sur le domaine
crypto-coplilot-dashboard.vercel[.]app. Ce serveur enregistre les portefeuilles connectés,
collecte des données liées aux points, au parrainage et suit l’activité des utilisateurs.

Un autre domaine, cryptocopilot[.]app, est également lié à cette infrastructure. Aucun de
ces domaines n’héberge un produit réel, ce qui renforce l’idée que l’ensemble du dispositif a été conçu
pour soutenir cette extension Chrome malveillante Solana et ses activités frauduleuses.

Une attaque discrète difficile à détecter pour les utilisateurs

Ce qui rend cette attaque particulièrement dangereuse, c’est sa discrétion. L’interface de Crypto
Copilot affiche uniquement les informations habituelles liées au swap sur Raydium, sans mention des
frais cachés. L’utilisateur a l’impression de signer une transaction normale, alors que
des fonds supplémentaires sont redirigés vers le portefeuille de l’attaquant.

Pour inspirer davantage confiance, l’extension s’appuie sur des services légitimes comme DexScreener
ou Helius RPC. Cette intégration à des outils réputés donne une image professionnelle et rassurante,
masquant la véritable nature de cette extension Chrome malveillante ciblant la blockchain Solana.

Comme le souligne le chercheur Kush Pandya, la plupart des victimes ne se rendront jamais compte de
ces transferts non autorisés, à moins d’examiner en détail chaque instruction avant de signer une
transaction. L’infrastructure semble avoir été conçue avant tout pour passer la validation du Chrome
Web Store et obtenir une apparence de légitimité, tout en prélevant des frais en coulisses.

Comment se protéger de ce type d’extension Chrome malveillante Solana ?

Pour limiter les risques, il est recommandé de :

• Vérifier la réputation des extensions avant installation (avis, nombre d’utilisateurs, site officiel).
• Limiter le nombre d’extensions ayant accès à vos portefeuilles crypto.
• Examiner les permissions demandées par chaque extension Chrome.
• Analyser, si possible, le détail des transactions avant de les signer.
• Désinstaller immédiatement toute extension suspecte liée à Solana ou aux DEX.

La découverte de cette extension Chrome malveillante Solana montre une nouvelle fois
que même les plateformes officielles comme le Chrome Web Store peuvent héberger des logiciels
frauduleux. La vigilance des utilisateurs reste essentielle pour éviter les pertes de fonds.