10 июля 2018 года разработчики криптовалютного кошелька MyEtherWallet (MEW) и расширения Hola VPN предупредили пользователей об атаке. На протяжении нескольких часов под видом Hola VPN для Chrome распространялась вредоносная версия расширения, ориентированная на кражу криптовалюты у пользователей MyEtherWallet.
We received a report that suggest Hola chrome extension was hacked for approximately 5 hrs and the attack was logging your activity on MEW.
— MyEtherWallet.com (@myetherwallet) July 10, 2018
В официальном заявлении команда Hola VPN объясняет, что учетная запись Google Chrome Store была скомпрометирована, после чего злоумышленники получили возможность загрузить в каталог расширений модифицированную версию аддона. Разработчики пишут, что вредоносная версия была активна лишь «несколько часов», после чего доступ к аккаунту вернули, а в Chrome Store вернулась легитимная версия Hola VPN. Представители MyEtherWallet, в свою очередь, обнародовали конкретные цифры и пишут о пяти часах компрометации. Изданию TechCrunch они и вовсе сообщили, что атака, по всей видимости, осуществлялась с российского IP-адреса.
Как уже было сказано выше, целью злоумышленников являлись пользователи кошельков MyEtherWallet. Так, если жертва пыталась зайти на официальный сайт MEW (MyEtherWallet.com), вредоносная версия расширения незаметно перенаправляла ее на фишинговую страницу, тем самым стараясь узнать учетные данные от аккаунта MEW.
Теперь специалисты рекомендуют всем пользователям MEW и Hola VPN, работавшим с кошельком и браузером 9-10 июля 2018 года, срочно перевести все свои средства в новые кошельки. Нужно отметить, что для успешной атаки Hola VPN должен был обновиться до вредоносной версии (расширения обновляются автоматически, в фоновом режиме) и быть включен, а режим инкогнито в браузере, напротив, должен был быть выключен.
Напомню, что это далеко не первый случай подобной компрометации разработчиков и подмены популярного расширения. К примеру, в 2017 году, в результате череды фишинговых атак на разработчиков, злоумышленники скомпрометировали сразу восемь популярных расширений для Chrome и суммарно подвергли опасности почти пять миллионов пользователей.