慢雾 MistEye 安全监控系统捕获了一个针对 TRON 钱包用户的高危钓鱼样本。该样本伪装成与 TRON 钱包生态相关的 Chrome MV3 扩展，通过品牌冒充与远程 UI 加载构建了完整的钱包凭证窃取链。攻击分两层：一是假冒 TronLink 的 Chrome 扩展，使用 Unicode 双向控制字符和西里尔字母同形字伪造品牌名；二是远程钓鱼页面，完全模仿 TronLink 钱包界面，收集助记词、私钥、Keystore 文件和密码，并通过同源 API 与 Telegram Bot 外传。扩展以远程 iframe 作为弹出界面，静态审查无法覆盖后续恶意行为。MistEye 已发出高危警报并向客户推送通知。该恶意扩展继承了 Chrome 商店中拥有百万用户与高评分的合法扩展条目，攻击者很可能先控制了原始扩展，再上传新版本替换名称、图标和描述。远程钓鱼页面基于 Next.js 开发，内置多重反分析技术（禁用右键、开发工具快捷键、文本选择、控制台输出），并对俄语用户实施地理重定向。凭证通过 Telegram Bot（chat_id: 8334454422）外传。建议用户验证扩展 ID、避免安装可疑名称的扩展，并使用钱包泄露检测服务。

关键事实

• 假冒 TronLink 扩展使用 Unicode 控制字符与西里尔字母同形字伪造品牌。
• 扩展通过远程 iframe 加载弹窗，静态审查无法发现后续钓鱼行为。
• 远程 Next.js 页面模仿 TronLink 钱包，窃取助记词、私钥、Keystore 与密码。
• 被盗数据通过同源 API 与 Telegram Bot（chat_id: 8334454422）外传。
• 扩展继承了商店中百万用户的合法条目，表明原始账户已被攻陷。

KeyAudit 数据视角