恶意 imToken Chrome 扩展程序被发现窃取助记词和私钥

Socket 的威胁研究团队发现了一个名为“lmToken Chromophore”的恶意 Google Chrome 扩展程序，该程序会主动窃取加密货币钱包凭证。

该扩展程序伪装成无害的十六进制颜色可视化工具，实际上模仿了流行的非托管钱包品牌 imToken。

自 2016 年推出以来，imToken 已为全球超过 2000 万客户提供服务，使其成为网络钓鱼活动极具吸引力的目标。

imToken 官方团队已警告用户，他们的平台严格来说是一个移动应用程序 ，他们从未发布过 Chrome 扩展程序。

然而，这种恶意插件通过模仿品牌可信的视觉形象来诱骗受害者。它的真正目的是诱骗受害者交出12个或24个单词的助记词或明文私钥，从而导致钱包立即被盗用。

该扩展程序由 Socket 威胁研究团队于 2026 年 2 月 2 日发布，它利用虚假的五星好评和声称不收集数据的欺诈性隐私政策来掩盖其危险性。

网络钓鱼工作流程和规避策略

安装后，该扩展程序完全忽略了其宣传的颜色选择功能。相反，它充当了一个轻量级重定向器。

其后台代码会自动从托管在 JSONKeeper 上的硬编码远程端点获取目标网站。然后，它会打开一个新的浏览器标签页，指向攻击者的基础设施。

这种设置使得攻击者可以随时轻松更改钓鱼目标，而无需在 Chrome 网上应用商店中更新扩展程序代码。

最后一步是在钱包密钥已被获取之后，打开真正的 token.im 网站作为诱饵。（来源：Socket）

初始重定向会将受害者引导至名为 chroomewedbstorre-detail-extension.com 的欺骗性钓鱼域名。为了绕过自动安全扫描器并欺骗人工审核人员，攻击者使用了混合文字的 Unicode 同形字形。

攻击者通过将页面标题和导入路径中的标准拉丁字母替换为视觉上相同的西里尔字母和希腊字母，可以轻松绕过简单的文本匹配检测系统。

一旦进入钓鱼页面，受害者就会看到一个由外部 JavaScript 文件如 sjcl-bip39.js 和 wordlist_english.js 驱动的欺诈性钱包导入界面。

该网站会提示用户输入其秘密助记词或私钥。为了在窃取敏感数据后维持合法性的假象，该流程会要求用户设置本地密码，并显示一个虚假的“升级”加载界面。

最后，攻击序列会将受害者重定向到官方的 token.im 网站，从而最大限度地降低受害者的怀疑，同时攻击者秘密地盗取被盗账户中的资金。

补救措施和威胁指标

安全团队必须像审查传统第三方软件一样严格审查浏览器扩展程序。强烈建议各组织限制在敏感浏览器配置文件中安装扩展程序。

用户应始终通过官方供应商渠道验证所有钱包软件。如果任何用户在疑似钓鱼网站上输入了助记词、私钥或钱包密码，则必须将钱包视为已完全被盗，并立即将资金转移到新的安全密钥中。

安全工具应监控那些主要行为是获取远程内容和打开外部目标的扩展程序。

安全分析师应将以下入侵指标 (IOC) 集成到其检测流程中，以阻止此威胁：

恶意扩展 ID： bbhaganppipihlhjgaaeeeefbaoihcgi
出版商邮箱地址： [email protected]
主要钓鱼网站着陆页： chroomewedbstorre-detail-extension.com
远程配置有效载荷： jsonkeeper.com/b/KUWNE
恶意脚本基础架构： compute-fonts-appconnect.pages.dev