साइबर सुरक्षा शोधकर्ताओं की Socket Threat Research Team ने एक खतरनाक Google Chrome एक्सटेंशन का पता लगाया है, जिसका नाम “lmΤoken Chromophore” है। यह एक्सटेंशन क्रिप्टोकरेंसी वॉलेट से जुड़ी संवेदनशील जानकारी, जैसे म्नेमोनिक सीड फ्रेज (seed phrase) और प्राइवेट की, चोरी करने के लिए बनाया गया है।
यह एक्सटेंशन खुद को एक सामान्य Hex Color Visualizer टूल के रूप में प्रस्तुत करता है, लेकिन वास्तव में यह लोकप्रिय नॉन-कस्टोडियल क्रिप्टो वॉलेट ब्रांड imToken की पहचान की नकल करता है।
2016 में लॉन्च हुए imToken के दुनिया भर में 2 करोड़ से अधिक उपयोगकर्ता हैं, जिससे यह साइबर अपराधियों द्वारा चलाए जा रहे फिशिंग अभियानों के लिए एक आकर्षक लक्ष्य बन जाता है।
imToken की आधिकारिक टीम ने स्पष्ट किया है कि उनका प्लेटफॉर्म केवल मोबाइल एप्लिकेशन के रूप में उपलब्ध है और उन्होंने कभी भी Chrome ब्राउज़र एक्सटेंशन जारी नहीं किया है।
इसके बावजूद यह दुर्भावनापूर्ण एक्सटेंशन imToken ब्रांड की विजुअल पहचान की नकल करके उपयोगकर्ताओं को धोखा देता है और उन्हें अपनी 12 या 24 शब्दों वाली सीड फ्रेज या प्राइवेट की दर्ज करने के लिए प्रेरित करता है, जिससे हमलावर तुरंत उनके क्रिप्टो वॉलेट पर नियंत्रण हासिल कर लेते हैं।
यह एक्सटेंशन 2 फरवरी 2026 को Socket की Threat Research Team द्वारा उजागर किया गया। यह खुद को वैध दिखाने के लिए नकली फाइव-स्टार रिव्यू और एक फर्जी प्राइवेसी पॉलिसी भी दिखाता है, जिसमें दावा किया जाता है कि यह कोई डेटा एकत्र नहीं करता।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
फिशिंग प्रक्रिया और बचाव तकनीक
इंस्टॉल होने के बाद यह एक्सटेंशन अपने बताए गए कलर-पिकिंग फीचर को बिल्कुल भी उपयोग नहीं करता। इसके बजाय यह एक रीडायरेक्ट मैकेनिज्म की तरह काम करता है।
इसका बैकग्राउंड कोड JSONKeeper पर होस्ट किए गए एक हार्डकोडेड रिमोट एंडपॉइंट से एक लक्ष्य वेबसाइट प्राप्त करता है और फिर ब्राउज़र में एक नया टैब खोलकर उपयोगकर्ता को हमलावर के इंफ्रास्ट्रक्चर पर रीडायरेक्ट कर देता है।
इस तकनीक के माध्यम से हमलावर Chrome Web Store में एक्सटेंशन को अपडेट किए बिना किसी भी समय फिशिंग वेबसाइट बदल सकते हैं।
प्रारंभिक रीडायरेक्ट उपयोगकर्ताओं को एक धोखाधड़ी वाले डोमेन पर ले जाता है:
chroomewedbstorre-detail-extension[.]com
स्वचालित सुरक्षा स्कैनर से बचने के लिए हमलावर Unicode homoglyph तकनीक का उपयोग करते हैं, जिसमें सामान्य लैटिन अक्षरों की जगह दिखने में समान सिरिलिक और ग्रीक अक्षरों का इस्तेमाल किया जाता है। इससे साधारण टेक्स्ट-मैचिंग आधारित सुरक्षा सिस्टम उन्हें पहचान नहीं पाते।
जब उपयोगकर्ता फिशिंग पेज पर पहुंचते हैं, तो उन्हें एक फर्जी वॉलेट इम्पोर्ट इंटरफेस दिखाई देता है, जो बाहरी JavaScript फाइलों जैसे sjcl-bip39.js और wordlist_english.js से संचालित होता है।
यह पेज उपयोगकर्ताओं से उनकी सीड फ्रेज या प्राइवेट की दर्ज करने के लिए कहता है। संवेदनशील जानकारी प्राप्त करने के बाद हमलावर वैधता का भ्रम बनाए रखने के लिए उपयोगकर्ताओं से एक लोकल पासवर्ड सेट करवाते हैं और एक नकली “upgrading” लोडिंग स्क्रीन दिखाते हैं।
अंत में उपयोगकर्ताओं को आधिकारिक token.im वेबसाइट पर रीडायरेक्ट कर दिया जाता है, जिससे उन्हें संदेह कम होता है, जबकि हमलावर चुपचाप उनके वॉलेट से फंड निकाल लेते हैं।
सुरक्षा उपाय और खतरे के संकेत (Indicators of Compromise – IOC)
सुरक्षा विशेषज्ञों का कहना है कि संगठनों को ब्राउज़र एक्सटेंशन की जांच उसी स्तर पर करनी चाहिए जैसे किसी थर्ड-पार्टी सॉफ्टवेयर की की जाती है।
कंपनियों को संवेदनशील ब्राउज़र वातावरण में एक्सटेंशन इंस्टॉल करने पर प्रतिबंध लगाने की भी सलाह दी गई है।
उपयोगकर्ताओं को हमेशा क्रिप्टोकरेंसी वॉलेट सॉफ्टवेयर केवल आधिकारिक स्रोतों से ही डाउनलोड करना चाहिए।
यदि किसी उपयोगकर्ता ने किसी संदिग्ध फिशिंग पेज पर अपनी सीड फ्रेज, प्राइवेट की या वॉलेट पासवर्ड दर्ज कर दिया है, तो उस वॉलेट को पूरी तरह से समझौता किया हुआ (compromised) मानना चाहिए और तुरंत अपने फंड को एक नए सुरक्षित वॉलेट में स्थानांतरित करना चाहिए।
सुरक्षा टीमों को निम्नलिखित Indicators of Compromise (IOC) पर भी निगरानी रखनी चाहिए:
- Malicious Extension ID: bbhaganppipihlhjgaaeeeefbaoihcgi
- Publisher Email: liomassi19855@gmail[.]com
- Phishing Domain: chroomewedbstorre-detail-extension[.]com
- Remote Configuration Payload: jsonkeeper[.]com/b/KUWNE
- Malicious Script Infrastructure: compute-fonts-appconnect.pages[.]dev
साइबर सुरक्षा विशेषज्ञों के अनुसार क्रिप्टोकरेंसी वॉलेट से जुड़े साइबर हमले तेजी से बढ़ रहे हैं, इसलिए उपयोगकर्ताओं को ब्राउज़र एक्सटेंशन इंस्टॉल करते समय अत्यधिक सावधानी बरतनी चाहिए और केवल विश्वसनीय तथा आधिकारिक स्रोतों पर ही भरोसा करना चाहिए।
