CORD:慢雾：揭露浏览器恶意书签如何盗取你的Discord账户

背景

区块链的世界遵循黑暗森林法则，在这个世界我们随时可能遭受到来自不明的外部攻击，作为普通用户不进行作恶，但是了解黑客的作恶的方式是十分必要的。

慢雾安全团队此前发布了区块链黑暗森林自救手册

，其中提到了不少关于针对NFT项目方的Discord进行攻击的手法，为了帮助读者对相关钓鱼方式有更清晰的认知，本文将揭露其中一种钓鱼方法，即通过恶意的书签来盗取项目方Discord账号的Token，用来发布虚假信息等诱导用户访问钓鱼网站，从而盗取用户的数字资产。

钓鱼事件

先来回顾一起Discord钓鱼事件：2022年3月14日，一则推特称NFT项目WizardPass的Discord社区被者入侵，目前已造成BAYC、Doodles、CloneX等NFT被盗，详情如下：

安全团队：0xDc4d开头EOA地址上有可疑活动，请及时撤销代币访问权限:5月12日消息，据CertiK监测，EOA地址（0xDc4d51D732a7C8E90727eb3628c89Ef655a25EC5）上发生可疑活动。如果用户无意中授予EOA访问代币权限，请及时撤销。[2023/5/12 14:59:14]

牵出其中一个解读：

该解读里说的bookmark就是浏览器书签，这个书签里的内容可以是一段JavaScript恶意代码，当Discord用户点击时，恶意JavaScript代码就会在用户所在的Discord域内执行，盗取DiscordToken，攻击者获得项目方的DiscordToken后就可以直接自动化接管项目方的Discord账户相关权限。

背景知识

全国政协委员祝树民：金融领域的机构改革填补了市场监管空白:金色财经报道，全国政协委员、银保监会原副主席祝树民在政协经济界分组审议政协章程修正案草案，讨论国务院机构改革方案时表示，我们对超大规模市场的容量偏乐观，当前要增强贯彻新发展理念、构建新发展格局的紧迫感，多从市场角度谋划加快畅通内循环的政策。处置金融风险既要抓好当前，又要着眼长远。比如小银行是市场经济最活跃的细胞，出了风险不应简单进行整合，要充分分析利弊再采取处置措施。这次金融领域的机构改革填补了市场监管的空白，希望能够积极稳妥地推进，重点关注监管效率如何与科技进步、生产力发展相结合。（证券时报）[2023/3/9 12:51:36]

要理解该事件需要读者有一定的背景知识，现在的浏览器都有自带的书签管理器，在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段JavaScript代码，当受害者点击书签时会以当前浏览器标签页的域进行执行。

首个BTC期货ETF“BITO”交易总额突破10亿美元:10月20日消息，在首个比特币期货ETF ProShares Bitcoin Strategy“BITO”推出一周年之际，BITO交易总额已经突破10亿美元，成为有史以来最快达到这一数字的ETF。尽管当前仍处于熊市，但BITO本周敞口达到32,520BTC，略低于8月3日34,520BTC的历史最高点。（Bitcoinist）[2022/10/20 16:31:45]

以上图为例，受害者打开了discord

)();">2Hello,World!3</a>

书签在点击时可以像在开发者工具控制台中的代码一样执行，并且会绕过CSP(ContentSecurityPolicy)策略。

读者可能会有疑问，类似「javascript:()」这样的链接，在添加进入到浏览器书签栏，浏览器竟然会没有任何的提醒？

笔者这里以谷歌和火狐两款浏览器来进行对比。

使用谷歌浏览器，拖拽添加正常的URL链接不会有任何的编辑提醒。

使用谷歌浏览器，拖拽添加恶意链接同样不会有任何的编辑提醒。

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器，如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。

场景演示

演示采用的谷歌浏览器，在用户登录Web端Discord的前提下，假设受害者在钓鱼页面的指引下添加了恶意书签，在DiscordWeb端登录时，点击了该书签，触发恶意代码，受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。

下面是演示受害者点击了钓鱼的书签：

下面是演示攻击者编写的JavaScript代码获取Token等个人信息后，通过DiscordServer的webhook接收到。

笔者补充几点可能会产生疑问的攻击细节：

1.为什么受害者点了一下就获取了？

通过背景知识我们知道，书签可以插入一段JavaScript脚本，有了这个几乎可以做任何事情，包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取，但是为了防止作恶的发生，详细的攻击代码笔者不会给出。

2.为什么攻击者会选择Discordwebhook进行接收？

因为Discordwebhook的格式为

「https://discord.com/api/webhooks/xxxxxx」，直接是Discord的主域名，绕过了同源策略等问题，读者可以自行新建一个Discordwebhook进行测试。

3.拿到了Token又能怎么样？

拿到了Token等同于登录了Discord账号，可以做登录Discord的任何同等操作，比如建立一个Discordwebhook机器人，在频道里发布公告等虚假消息进行钓鱼。

总结

攻击时刻在发生，针对已经遭受到恶意攻击的用户，建议立刻采取如下行动进行补救：

1.立刻重置Discord账号密码。

2.重置密码后重新登录该Discord账号来刷新Token，才能让攻击者拿到的Token失效。

3.删除并更换原有的webhook链接，因为原有的webhook已经泄露。

4.提高安全意识，检查并删除已添加的恶意书签。

作为用户，重要的是要注意任何添加操作和代码都可能是恶意的，Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求，在用户手动触发执行的那一刻，还是需要保持一颗怀疑的心。

本文到这边就结束了，慢雾安全团队将会揭露更多关于黑暗森林的攻击事件，希望能够帮助到更多加密世界的人。?

标签：ORDDISCISCCORDOrdinalsDisciplinaaisc币价Cordium

币安交易所app下载热门资讯