確かに記事内の実行コードはブラウザ上で走るJSっぽいですね
でもnpm走らせちゃった時点で任意コード走らせたのと同じだと思うので理論的にはファイルシステムから抜けそうな気はします。
拡張機能のデータがどうやって保存されてるかとか全く知らないですがw
Discussion
まあそうですね苦笑
しかしnpm 走らせた時点で攻撃完了しているなら、そのあとビデオコール繋いで攻撃者がそわそわしている話に繋がらないんですよねえ〜🤔
さすがにブラウザ上のjsからmetamaskのパスワード使ってシードは取れないと信じたい
それは無理で、ありうるのは記事の言及以外のダイアログが出ていてそのボタンも押していて本物メタマスクから偽装アプリに「パーミッションを与えている」場合です。それならアクティブにしているアカウント限定ならたしかにtx発行までいけそうかなあと。
詳しいお二人に質問なんですけど、例えばこの指定された操作をやるのにVMを立ててその中でやった場合でもメタマスクの情報ぶっこ抜かれたりするんでしょうか?
ブラウザはホストOSにあるならおそらくだいじょうぶ。と思いますが、引っこ抜くスクリプト見れてないのでなんともですね~
記事作者に連絡中なのでもうちょいわかりましたら!
VMあんまりわからないですけど普通は大丈夫そうな気がしますね
ただホストのディレクトリが見えるようになってたりすると抜かれちゃうことはありそうです
すでにクリーンインストール済みで残ってないということでしたが(正しい対処)、類似のスクリプトを解析した記事が出ています。
https://zenn.dev/waki285/articles/web3-malware-deobfuscated
VMが、ホストOS越しにインターネットへの通信をブリッジするように構成されているとけっこう厳しそうです。被害者のPCをリモートデスクトップ操作できるように展開してやがるので、、
ここまでやられると私のブラウザでもダメですね苦笑
やはり「紙」が大正義!パソコンを捨てて大地に戻ろう!