これみてnpm run devした時にmetamaskのファイルが抜かれたんじゃないかなと思ってます
nostr:note1yt0psrhmkx6ecy5qykpzd7z0rnt07meg57zz4p25apw930edvt2qr5h2dd
Discussion
ファイルごと...うーんファイルは実行コードでシードフレーズは本物のメタマスクの拡張機能専用のストレージ領域にあり「通常では」偽装アプリからはアクセスできないはず。パスワードが攻撃者に送信されてもシードフレーズは手に入らないし。記事以外に攻撃手法の本題がある気がしているんですがそのファイルの抜き取り方にあるかもしれませんね🤔
これ今の仮説なら私のブラウザなら防げるはずなんですが攻撃手法の核心が見えていなくて気になりまくりです笑(けっきょくダメかも)
確かに記事内の実行コードはブラウザ上で走るJSっぽいですね
でもnpm走らせちゃった時点で任意コード走らせたのと同じだと思うので理論的にはファイルシステムから抜けそうな気はします。
拡張機能のデータがどうやって保存されてるかとか全く知らないですがw
まあそうですね苦笑
しかしnpm 走らせた時点で攻撃完了しているなら、そのあとビデオコール繋いで攻撃者がそわそわしている話に繋がらないんですよねえ〜🤔
さすがにブラウザ上のjsからmetamaskのパスワード使ってシードは取れないと信じたい
それは無理で、ありうるのは記事の言及以外のダイアログが出ていてそのボタンも押していて本物メタマスクから偽装アプリに「パーミッションを与えている」場合です。それならアクティブにしているアカウント限定ならたしかにtx発行までいけそうかなあと。
詳しいお二人に質問なんですけど、例えばこの指定された操作をやるのにVMを立ててその中でやった場合でもメタマスクの情報ぶっこ抜かれたりするんでしょうか?
ブラウザはホストOSにあるならおそらくだいじょうぶ。と思いますが、引っこ抜くスクリプト見れてないのでなんともですね~
記事作者に連絡中なのでもうちょいわかりましたら!
VMあんまりわからないですけど普通は大丈夫そうな気がしますね
ただホストのディレクトリが見えるようになってたりすると抜かれちゃうことはありそうです
すでにクリーンインストール済みで残ってないということでしたが(正しい対処)、類似のスクリプトを解析した記事が出ています。
https://zenn.dev/waki285/articles/web3-malware-deobfuscated
VMが、ホストOS越しにインターネットへの通信をブリッジするように構成されているとけっこう厳しそうです。被害者のPCをリモートデスクトップ操作できるように展開してやがるので、、
ここまでやられると私のブラウザでもダメですね苦笑
やはり「紙」が大正義!パソコンを捨てて大地に戻ろう!