CoinVoice ha informado recientemente que el fundador de Slow Mist, Yu Xian, reveló en la plataforma X un ataque XSS dirigido a la industria de las criptomonedas. El atacante aprovechó la vulnerabilidad XSS del sitio web de Cointelegraph, engañando a los usuarios objetivo para que abrieran el enlace oficial de Cointelegraph (con un script malicioso XSS), entonces:
El script malicioso se carga y ejecuta; la barra de direcciones se establece en una dirección sospechosa (parece un borrador no publicado oficial); luego aparece un cuadro falsificado de Iniciar sesión con X; al hacer clic en Iniciar sesión con X, se abre la autorización de la aplicación de terceros de X, donde la lista de permisos deja un gran espacio en blanco, en este momento, si no prestas atención y haces clic en la autorización, los permisos relacionados con tu X serán tomados por el atacante.
Este tipo de phishing ligeramente explotador es más difícil de prevenir para el público en general, se debe tener más cuidado. [Enlace original]