Попередження: на даний момент існує понад 40 підроблених розширень Firefox, які крадуть криптовалютні гаманці.

Виявлено складну та масштабну шкідливу кампанію, пов'язану з десятками підроблених розширень для браузера Firefox, що мають на меті викрадення інформації про криптовалютні гаманці користувачів.

Згідно з доповіддю групи дослідження безпеки Koi Security, було виявлено щонайменше 40 шкідливих програм, які маскуються під відомі гаманці, такі як Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet та Filfox.

Ця кампанія працює тихо щонайменше з квітня 2025 року і все ще триває. Багато шкідливих розширень навіть досі з'являються в магазині Firefox Add-ons станом на минулий тиждень. Ці розширення функціонують, крадучи інформацію для доступу до криптовалютних гаманців безпосередньо з веб-сайтів, які відвідують користувачі, а потім надсилають дані на сервер, контрольований зловмисником. Крім того, вони також збирають зовнішні IP-адреси жертв, що може бути спрямовано на стеження або цілеспрямовані атаки.

Ці інструменти були розроблені для обману користувачів через поширені трюки створення довіри, такі як підроблені відгуки на 5 зірок, інтерфейс і назви, які ідентичні офіційним інструментам, що робить користувачів легшими для плутанини. У деяких випадках зловмисники скопіювали вихідний код оригінального інструмента, просто додавши кілька рядків шкідливого коду для крадіжки даних, при цьому зберігаючи досвід користувача, щоб уникнути підозри.

Koi Security повідомляє, що ця кампанія може походити від групи, що говорить російською, на основі російськомовних коментарів коду та метаданих у PDF-документі, отриманому з сервера управління (C2). Однак дослідницька група зазначає, що поки що не було остаточного висновку щодо відповідальності.

Рекомендації від Koi Security:

• Встановлюйте розширення лише від перевірених розробників.
• Не слід повністю довіряти відгукам і високим рейтингам у магазині додатків.
• Створення білого списку дозволених утиліт у організації.
• Виконувати безперервний моніторинг, оскільки утиліта може оновити шкідливе програмне забезпечення після установки.

Koi Security вважає, що управління розширеннями браузера, які мають глибокий доступ до системи, є аспектом кібербезпеки, який протягом тривалого часу часто недооцінюється. Інструменти Koi наразі використовуються великими корпораціями, фінансовими установами та технологічними компаніями для перевірки та контролю ризиків від розширень браузера та відкритого коду на таких платформах, як Firefox, Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub…

Хан Тін