警告：現在、40以上の偽のFirefox拡張機能が暗号通貨ウォレットを盗んでいます。

大規模で高度な悪意のあるキャンペーンが発見されました。これは、ユーザーの暗号通貨ウォレット情報を盗むことを目的とした、偽のFirefoxブラウザ拡張機能に関連しています。

セキュリティ調査チームKoi Securityの報告によると、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxなどの有名なウォレットになりすました悪意のあるユーティリティが少なくとも40個特定されています。

このキャンペーンは少なくとも2025年4月から静かに活動しており、現在も継続中です。悪意のある拡張機能は、先週の時点でもFirefoxアドオンストアに登場し続けています。これらの拡張機能は、ユーザーがアクセスするウェブサイトから暗号通貨ウォレットの認証情報を直接盗むことによって機能し、その後、攻撃者が制御するサーバーにデータを送信します。さらに、被害者の外部IPアドレスを収集し、監視やより深い攻撃をターゲットにする目的がある可能性があります。

これらの便利な機能は、偽の5つ星評価や公式の便利な機能と全く同じインターフェースや名称といった一般的な信頼構築の手法を通じてユーザーを欺くように設計されています。そのため、ユーザーは簡単に混乱してしまいます。いくつかのケースでは、攻撃者が元の便利な機能のオープンソースコードをコピーし、データを盗むために悪意のあるコードを数行追加しただけで、疑いを避けるためにユーザーエクスペリエンスをそのまま維持しています。

Koi Securityは、このキャンペーンがロシア語を話すグループに起因している可能性があると述べており、(C2)のコマンドサーバーから取得したPDFドキュメント内のロシア語の注釈コードやメタデータに基づいています。ただし、研究チームは、責任の所在についての結論はまだ出ていないと指摘しています。

Koi Securityからの推奨事項:

• 確認された開発者からのみ拡張機能をインストールしてください。
• アプリストアの評価や高いランキングを完全に信頼するべきではありません。
• 組織内で使用を許可されたユーティリティのホワイトリストを構築する。
• インストール後にユーティリティがマルウェアを更新する可能性があるため、継続的な監視を行ってください。

Koi Securityは、システムに深くアクセスできるブラウザ拡張機能の管理が、長い間軽視されてきたサイバーセキュリティの側面であると考えています。Koiのツールは現在、大企業、金融機関、テクノロジー組織によって、Firefox、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHubなどのプラットフォーム上でのブラウザ拡張機能やオープンソースコードからのリスクをレビューし、管理するために使用されています。

ハンティン