Haitalliset Firefox-laajennukset jäljittelevät MetaMaskia, Coinbasea varastaakseen kryptoa

Kyberturvallisuusyritys Koi Securityn tutkijat ovat ilmoittaneet yli 40 väärennettyä Firefox-laajennusta, jotka on suunniteltu varastamaan kryptovaluuttalompakko tunnistetiedot esiintymällä suosittuina alustoina, kuten MetaMask, Coinbase ja OKX.

Tietoturvayrityksen tuoreen raportin mukaan Firefoxin käyttäjien hallussa olevat kryptovaluuttavarat, laajalti käytetty avoimen lähdekoodin selain, ovat vaarassa.

Laajamittainen kampanja, joka on ollut aktiivinen ainakin huhtikuusta 2025 lähtien, hyödyntää haitallisia laajennuksia, jotka ovat edelleen saatavilla Mozilla Add-ons -kaupassa, mikä korostaa merkittäviä aukkoja selaimen laajennusten tarkistusprosessissa.

Koi Security varoittaa, että nämä väärennetyt laajennukset peilaavat laillisia lompakkotarjouksia hälyttävällä tarkkuudella ja käyttävät samoja nimiä, logoja ja brändäyksiä käyttäjien huijaamiseen.

Monissa tapauksissa laajennukset kopioivat avoimen lähdekoodin lompakoiden koodia, ja haitallista koodia on lisätty huomaamattomasti kryptovaluuttojen pyyhkäisemiseksi samalla kun se toimii normaalina laajennuksena.

Joitakin väärennettyjen Firefox-laajennusten esittämiä brändejä ovat MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet ja Filfox.

Aiemmin tänä vuonna OKX varoitti Firefox-kaupassa listatusta väärennetystä selainlaajennuksesta, joka jäljitteli pörssin alkuperälaajennusta varastaakseen tunnistetietoja uhrien lompakoista.

Haitallinen laajennus on edelleen käytössä Firefox-kaupassa

Koi yhdisti kampanjan yli 40 yksittäiseen laajennukseen yhteisten taktiikoiden, tekniikoiden ja menettelytapojen sekä päällekkäisen infrastruktuurin avulla.

Raportin mukaan kampanja on tällä hetkellä "aktiivinen, jatkuva ja kehittyvä", ja laajennuksista ilmestyy edelleen uusia versioita poistoyrityksistä huolimatta. Viimeisimmät lataukset havaittiin vasta kesäkuussa.

Asennuksen jälkeen väärennetyt laajennukset poimivat hiljaa lompakon salaisuudet ja lähettävät ne hyökkääjien hallitsemalle etäpalvelimelle.

Kirjautumistietojen varastamisen lisäksi haittaohjelma kaappaa käyttäjien ulkoisia IP-osoitteita, mikä saattaa auttaa profiloinnissa tai jatkohyökkäyksissä.

Latausten edistämiseksi hyökkääjät hyödyntävät myös laajennusmarkkinoiden luottamusmekanismeja.

Monet väärennetyistä laajennuksista on tuettu sadoilla väärennetyillä viiden tähden arvosteluilla, jotka ylittävät paljon sen, mitä todellisten käyttäjäasennusten perusteella voisi odottaa.

Koi löysi venäjänkieliseen uhkatoimijaan viittaavia merkkejä, kuten laajennuskoodiin upotettuja venäjänkielisiä kommentteja ja operaatiossa käytetyltä komentopalvelimelta haettuja metatietoja.

Vaikka attribuutio on edelleen alustavaa, Koi-tutkijat uskovat, että nämä indikaattorit viittaavat hyvin organisoituun ja teknisesti taitavaan ryhmään.

Kampanjan laajuus ja hienostuneisuus ovat merkittävä uhka kryptokäyttäjille.

Kaappaamalla selainlaajennuksia, jotka ovat kauppiaiden ja sijoittajien yleisesti luotettu työkalu, hyökkääjät voivat ohittaa perinteiset tietojenkalastelusuojaukset ja saada suoran pääsyn lompakoihin.

Koska nämä laajennukset toimivat usein korotetuilla käyttöoikeuksilla, ne voivat vaarantaa uhrin tilit ilman, että he pystyvät havaitsemaan sitä, ennen kuin on liian myöhäistä.

Ikivanha taktiikka

Tällaiset kampanjat korostavat kryptojen vähittäiskäyttäjien kohtaamia riskejä, varsinkin kun kryptovaluuttojen käyttöönotto lisääntyy ja selainpohjaisten lompakoiden vuorovaikutus yleistyy.

NASAA:n tutkimuksen mukaan kryptoon liittyvät petokset ja sosiaaliseen mediaan perustuvat huijaukset ovat edelleen suurimpia uhkia sijoittajille vuonna 2025.

Viime vuosina haitallisista selainlaajennuksista on tullut näkyvä työkalu kyberrikollisten arsenaalissa, ja tapauksia on esiintynyt myös muissa selaimissa.

Esimerkiksi maaliskuussa Chromen välityspalvelintyökalun SwitchyOmegan vaarantuneen version havaittiin varastavan yksityisiä avaimia kryptolompakot sen jälkeen, kun tietojenkalasteluhyökkäys mahdollisti haitallisen koodin lisäämisen.

Solana-pohjainen DEX Jupiter merkitsi viime vuonna toisen haitallisen Chrome-laajennuksen nimeltä "Bull Checker". Laajennus tyhjensi käyttäjien lompakot muokkaamalla transaktioiden hyötykuormia.

Samanlaisia taktiikoita on käytetty myös aiemmissa kampanjoissa, joissa on käytetty väärennettyjä versioita Ledger Live -sovelluksesta ja Aggr-kaupankäyntityökaluista.

Jotkut laajennukset kehottavat käyttäjiä syöttämään siemenlauseensa asennuksen aikana tai keräävät salaa selaimen evästeitä, joita sitten käytetään salasanojen rekonstruoimiseen ja kryptotilien käyttämiseen.