PANews 5月11日消息，慢雾发布安全预警称，发现一起针对TRON钱包用户的高危钓鱼活动。攻击者创建了假冒TronLink钱包的Chrome扩展程序，利用Unicode双向控制字符和西里尔字母同形异义字伪装品牌名称。安装后，该扩展通过远程iframe加载完整钓鱼页面，形成“外壳-核心分离”的凭证窃取链。

恶意扩展名称使用同形异义字伪装，其Chrome商店页面继承真实扩展的高用户数和好评，降低了审查门槛。本地代码极少，仅加载远程页面，使静态分析几乎无法检测恶意行为。远程钓鱼页面完美复刻官方TronLink网页钱包界面，窃取助记词、私钥、Keystore文件和密码，并通过Telegram Bot实时回传。内置反分析功能禁用右键、开发者工具、拖放和打印，并根据俄语用户的地理和语言设置重定向以规避检测。SlowMist建议立即卸载可疑扩展，并清理本地存储、检查异常流量，如已输入凭证应立即创建新钱包并转移资产。