警惕浏览器扩展插件AggrTrade木马

内容来源：Tree (🌲,🌲)@Tree_of_Alpha、Cos(余弦)😶‍🌫️@evilcos等。编者注：Tree发文称有个浏览器扩展插件“AggrTrade”，利用篡改的“jquery”扩展收集用户cookie，持续两年时间，从币安用户盗取六位数资金，而用户还找不到是如何被盗的。后面余弦提醒，尽快删除这个扩展，并增加安全措施。最后AggrTrade官方声明该插件盗用其品牌，是诈骗行为。

Tree (🌲,🌲)@Tree_of_Alpha。下午6:41 · 2024年5月28日

乍一看，该扩展名大多是无害的，导入了一个小的“background.js”文件和流行的javascript扩展名“jquery”。

Tree (🌲,🌲)@Tree_of_Alpha。下午6:41 · 2024年5月28日

我认为“看起来无害，似乎很奇怪，它会是恶意的”。

问题：这里的“jquery”扩展是在本地导入的，其校验和与 CDN 上的校验和不匹配。

那是因为它被篡改以包含从用户那里检索所有 cookie 的代码。

Tree (🌲,🌲)@Tree_of_Alpha。下午6:41 · 2024年5月28日

尽管延期已有 2 年之久，但恶意开发人员还是设法开展了一次成功的活动，并从币安获得了至少 6 位数的资金，受害者几个月来一直想知道这是怎么发生的。

Cos(余弦)😶‍🌫️@evilcos。下午1:56 · 2024年5月31日
注意下这个浏览器扩展会偷用户交易所的 Cookies 等权限信息，有一些用户损失挺大。扩展叫「AggrTrade」，如果你安装了，尽快删除，并修改各平台账号密码及 2FA、重置交易 API 等…

安装使用扩展真要谨慎。

AggrTradeApp@AggrTradeApp。上午3:13 · 2024年5月30日
🚨 安全漏洞警报：我们发现了一个使用我们品牌 AggrTrade 的欺诈性 Chrome 扩展程序。自 2022 年以来，该骗局已针对 Bitget、Kraken、Binance 等交易所。2024 年 3 月，X & Telegram 上的一项促销活动使用加密货币影响者为其背书。