慢霧：TRON 使用者需警惕假冒 TronLink Chrome 擴展程序的釣魚活動

ChainCatcher 消息，慢霧發布安全預警稱，發現一起針對 TRON 錢包用戶的高危釣魚活動。攻擊者創建了假冒 TronLink 錢包的 Chrome 擴展程序，利用 Unicode 雙向控制字符和西里爾字母同形異義字偽裝品牌名稱。安裝後，該擴展通過遠程 iframe 加載完整釣魚頁面，形成"外殼-核心分離"的憑證竊取鏈。

惡意擴展名稱使用同形異義字偽裝，其 Chrome 商店頁面繼承真實擴展的高用戶數和好評，降低了審查門檻。本地代碼極少，僅加載遠程頁面，使靜態分析幾乎無法檢測惡意行為。遠程釣魚頁面完美複刻官方 TronLink 網頁錢包界面，竊取助記詞、私鑰、Keystore 文件和密碼，並通過 Telegram Bot 實時回傳。

內置反分析功能禁用右鍵、開發者工具、拖放和打印，並根據俄語用戶的地理和語言設置重定向以規避檢測。SlowMist 建議立即卸載可疑擴展，並清理本地存儲、檢查異常流量，如已輸入憑證應立即創建新錢包並轉移資產。