据 SlowMist 的安全监控系统 MistEye 称,一款恶意 Chrome MV3 扩展正在利用网络钓鱼攻击 TRON 钱包用户,目的是窃取助记词、私钥、密钥库文件和密码。该扩展使用 Unicode 混淆和品牌冒充来伪装成官方插件,然后在安装后加载远程 iframe 弹窗页面,诱骗用户输入敏感信息,并通过 Telegram Bot 进行传输。

恶意基础设施包含域名 tronfind-api.tronfindexplorer.com 和 trx-scan-explorer.org。该扩展的 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展,并在已提交敏感信息的情况下迁移资产。