文章总结: 慢雾安全团队发现仿冒TronLink的Chrome扩展钓鱼攻击,攻击采用双层结构:扩展利用Unicode同形字伪装品牌并远程加载iframe,钓鱼页面完整克隆TronLink界面窃取助记词、私钥等凭据,通过TelegramBot外传。攻击具备反分析、地域分流等规避手段,建议立即移除扩展、迁移资产并监控相关IOC。 综合评分: 87 文章分类: 威胁情报,恶意软件,WEB安全,安全意识,漏洞分析
威胁情报|仿冒 TronLink 的 Chrome 扩展钓鱼攻击分析
原创
慢雾安全团队 慢雾安全团队
慢雾科技
2026年5月9日 18:46 中国香港
在小说阅读器读本章
去阅读
# 背景
近日,慢雾 MistEye 安全监控系统捕获到一个针对 TRON 钱包用户的高风险钓鱼攻击样本。该样本伪装为与 TRON 钱包生态相关的 Chrome MV3 (Manifest V3) 扩展,通过品牌冒充与远程可变 UI 装载相结合的方式,构建了一条完整的钱包凭据窃取链。
攻击手法分为两层:第一层是一个仿冒 TronLink 的 Chrome 扩展,利用 Unicode 方向控制字符和西里尔同形字伪装品牌名称,在用户安装后优先加载远程 iframe 作为 popup 界面;第二层是远程钓鱼页面,该页面完整仿造了 TronLink Wallet 网页钱包的 UI 和功能,在用户无感知的情况下收集助记词、私钥、keystore 文件及密码,并通过同源 API 和 Telegram Bot 外传。静态扩展包审查难以覆盖远程 iframe 的后续界面行为,特此发布分析报告供社区防御和自查。
MistEye 响应
MistEye 是由 SlowMist 自主研发的 Web3 威胁情报与动态安全监控系统,集成了安全监控与情报聚合能力,为用户提供实时的风险预警与资产守护。
在捕获本次仿冒 TronLink 的 Chrome 扩展及其关联远程钓鱼页面后,MistEye 系统已触发高危告警并推送客户。
(https://enterprise.misteye.io/threat-intelligence/SM-2026-211873)
# 恶意扩展分析
该样本为 Chrome MV3 扩展,扩展包结构伪装为合法的区块链查询工具。
品牌伪装与防御规避
扩展的 manifest.json 通过 Chrome 国际化机制将扩展名称和标题指向 locale 消息文件。在 _locales/en/messages.json 中,攻击者使用了 Unicode 双向控制字符和西里尔同形字构造字符串 T\u202Enor\u202CL\u0456\u202Ekn,使浏览器展示层与官方 TronLink 品牌高度相似,属于面向钱包用户的欺骗性分发行为。
商店信用继承
该恶意扩展在 Chrome Web Store 页面中展示”1,000,000+ 用户”和”4.5 分(353 个评分)”等数据,但这些数据并非由扩展代码自行伪造——Chrome Web Store 的用户数、评分和评论均绑定在扩展的 item id 上,随同一商店条目继承。攻击者极可能先控制了某个已有高装机量或高评分的合法扩展条目,再上传新版本并替换名称、图标和描述,从而在商店页面呈现”百万用户、高评分”的可信外观,大幅降低受害者的警惕性。
该扩展仅申请了 storage 权限,但同时在 host_permissions 中声明了对 https://tronfind-api.tronfindexplorer.com/* 和 https://api.trongrid.io/* 的访问权限。前者为远程 popup 装载端点,后者用于本地备用查询逻辑,在权限声明上刻意保持低调以规避审查。
远程 UI 装载攻击链
用户安装扩展后,点击扩展图标打开 popup 时触发以下攻击链:
- popup 入口 src/popup/index.html 加载主逻辑脚本 assets/index.html-2KXeQB-c.js。
- 脚本启动后优先通过 fetch 探测远程端点 https://tronfind-api.tronfindexplorer.com/。
- 若远程端点返回 HTTP 200,脚本将 tronfindapiAvailable 设为 true,并将远程 URL 写入 localStorage 的 tronfindapiURL 键中。
- 扩展随后创建一个覆盖整个 popup 窗口的
评论