تحاكي امتدادات Firefox الخبيثة MetaMask و Coinbase لسرقة العملات المشفرة

قام الباحثون في شركة الأمن السيبراني Koi Security بالإبلاغ عن أكثر من 40 امتضادا مزيفا لمتصفح Firefox مصممة لسرقة بيانات اعتماد محفظة العملات المشفرة عن طريق انتحال شخصية منصات شهيرة مثل MetaMask و Coinbase و OKX.

أصول العملات المشفرة التي يحتفظ بها مستخدمو Firefox ، وهو متصفح مفتوح المصدر مستخدم على نطاق واسع ، معرضة للخطر ، وفقا لتقرير حديث صادر عن شركة الأمن.

تستفيد حملة واسعة النطاق ، نشطة منذ أبريل 2025 على الأقل ، من الإضافات الضارة التي لا تزال متاحة في متجر إضافات Mozilla ، مما يسلط الضوء على الثغرات الكبيرة في عملية فحص المكونات الإضافية للمتصفح.

تحذر Koi Security من أن هذه الامتدادات المزيفة تعكس عروض المحفظة المشروعة بدقة تنذر بالخطر ، باستخدام نفس الأسماء والشعارات والعلامات التجارية لخداع المستخدمين.

في كثير من الحالات ، تقوم الامتدادات بتكرار رمز المحافظ مفتوحة المصدر ، مع إدخال رمز ضار بشكل سري لتمرير العملات المشفرة أثناء العمل كمكون إضافي عادي.

تتضمن بعض العلامات التجارية التي تنتحل شخصيتها امتدادات Firefox المزيفة MetaMask و Coinbase و OKX و Trust Wallet و Phantom و Exodus و Keplr و MyMonero و Bitget و Leap و Ethereum Wallet و Filfox.

في وقت سابق من هذا العام ، حذرت OKX من امتداد متصفح مزيف مدرج في متجر Firefox ، والذي يحاكي المكون الإضافي لأصول البورصة لسرقة بيانات الاعتماد من محافظ الضحايا.

لا يزال الامتداد الضار موجودا على متجر Firefox

ربط كوي الحملة بأكثر من 40 امتدادا فرديا من خلال التكتيكات والتقنيات والإجراءات المشتركة ، بالإضافة إلى البنية التحتية المتداخلة. 

وفقا للتقرير ، فإن الحملة حاليا "نشطة ومستمرة ومتطورة" ، مع استمرار ظهور إصدارات جديدة من الامتدادات على الرغم من جهود الإزالة. تم اكتشاف أحدث عمليات التحميل مؤخرا في يونيو.

بمجرد التثبيت ، تقوم الإضافات المزيفة باستخراج أسرار المحفظة بصمت ونقلها إلى خادم بعيد يتحكم فيه المهاجمون. 

بالإضافة إلى سرقة بيانات اعتماد تسجيل الدخول ، تلتقط البرامج الضارة عناوين IP الخارجية للمستخدمين ، مما قد يساعد في المزيد من التنميط أو هجمات المتابعة.

لتشجيع التنزيلات ، يستغل المهاجمون أيضا آليات الثقة في سوق المكونات الإضافية.

يتم دعم العديد من الإضافات المزيفة بمئات من المراجعات المزيفة من فئة الخمس نجوم ، مما يتجاوز بكثير ما هو متوقع بناء على عمليات تثبيت المستخدم الفعلية.

عثر كوي على لافتات تشير إلى ممثل تهديد يتحدث الروسية ، بما في ذلك التعليقات باللغة الروسية المضمنة في رمز الامتداد والبيانات الوصفية التي تم استردادها من خادم الأوامر المستخدم في العملية. 

في حين أن الإسناد لا يزال مؤقتا ، يعتقد باحثو Koi أن هذه المؤشرات تشير إلى مجموعة جيدة التنظيم وبارعة تقنيا.

يشكل حجم الحملة وتطورها تهديدا كبيرا لمستخدمي العملات المشفرة.

من خلال اختطاف امتدادات المتصفح ، وهي أداة موثوقة بشكل شائع بين المتداولين والمستثمرين ، يمكن للمهاجمين تجاوز دفاعات التصيد الاحتيالي التقليدية والوصول المباشر إلى المحافظ.

نظرا لأن هذه الإضافات غالبا ما تعمل بأذونات مرتفعة ، فيمكنها اختراق حسابات الضحية دون أن يتمكنوا من اكتشافها حتى فوات الأوان.

تكتيك قديم

تؤكد مثل هذه الحملات على المخاطر التي يواجهها مستخدمو العملات المشفرة بالتجزئة ، خاصة مع زيادة اعتماد العملات المشفرة وأصبحت تفاعلات المحفظة المستندة إلى المتصفح أكثر شيوعا. 

وفقا لاستطلاع أجرته وكالة ناسا ، لا يزال الاحتيال المرتبط بالعملات المشفرة وعمليات الاحتيال القائمة على وسائل التواصل الاجتماعي من بين أكبر التهديدات للمستثمرين في عام 2025.

على مدى السنوات الماضية ، أصبحت ملحقات المتصفح الضارة أداة بارزة في ترسانة مجرمي الإنترنت ، مع ظهور الحوادث عبر المتصفحات الأخرى أيضا.

على سبيل المثال ، في مارس ، تم العثور على نسخة مخترقة من أداة وكيل Chrome SwitchyOmega تسرق مفاتيح خاصة من محافظ التشفير بعد هجوم تصيد احتيالي لحقن التعليمات البرمجية الضارة. 

تم وضع علامة على امتداد Chrome ضار آخر يطلق عليه اسم "Bull Checker" بواسطة DEX Jupiter ومقره Solana العام الماضي. استنزفت الإضافة محافظ المستخدمين عن طريق تعديل حمولات المعاملات.

كما تم استخدام تكتيكات مماثلة في حملات سابقة تتضمن إصدارات مزيفة من تطبيق Ledger Live وأدوات تداول Aggr.

تطالب بعض الإضافات المستخدمين بإدخال عباراتهم الأولية أثناء الإعداد أو جمع ملفات تعريف الارتباط للمتصفح سرا ، والتي يتم استخدامها بعد ذلك لإعادة إنشاء كلمات المرور والوصول إلى حسابات التشفير.