Sambungan Firefox berniat jahat meniru MetaMask, Coinbase untuk mencuri kripto

Penyelidik di firma keselamatan siber Koi Security telah menandakan lebih 40 sambungan Firefox palsu yang direka untuk mencuri kelayakan dompet mata wang kripto dengan menyamar sebagai platform popular seperti MetaMask, Coinbase dan OKX.

Aset mata wang kripto yang dipegang oleh pengguna Firefox, penyemak imbas sumber terbuka yang digunakan secara meluas, berisiko, menurut laporan baru-baru ini daripada firma keselamatan itu.

Kempen berskala besar, aktif sejak sekurang-kurangnya April 2025, memanfaatkan sambungan berniat jahat yang masih tersedia di kedai Mozilla Add-ons, menyerlahkan jurang ketara dalam proses pemeriksaan pemalam penyemak imbas.

Koi Security memberi amaran bahawa sambungan palsu ini mencerminkan tawaran dompet yang sah dengan ketepatan yang membimbangkan, menggunakan nama, logo dan penjenamaan yang sama untuk menipu pengguna.

Dalam banyak kes, sambungan meniru kod dompet sumber terbuka, dengan kod berniat jahat dimasukkan secara diam-diam untuk meleret mata wang kripto semasa berfungsi sebagai pemalam biasa.

Beberapa jenama yang menyamar sebagai sambungan Firefox palsu termasuk MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet dan Filfox.

Awal tahun ini, OKX memberi amaran tentang sambungan penyemak imbas palsu yang disenaraikan di kedai Firefox, yang meniru pemalam asal bursa untuk mencuri kelayakan daripada dompet mangsa.

Sambungan berniat jahat masih hidup di kedai Firefox

Koi mengaitkan kempen itu kepada lebih 40 sambungan individu melalui taktik, teknik dan prosedur yang dikongsi, serta infrastruktur yang bertindih. 

Menurut laporan itu, kempen itu kini "aktif, berterusan dan berkembang," dengan versi baharu sambungan terus muncul walaupun terdapat usaha penghapusan. Muat naik terkini dikesan baru-baru ini pada bulan Jun.

Setelah dipasang, sambungan palsu secara senyap-senyap mengekstrak rahsia dompet dan menghantarnya ke pelayan jauh yang dikawal oleh penyerang. 

Selain mencuri kelayakan log masuk, perisian hasad menangkap alamat IP luaran pengguna, berpotensi untuk membantu dalam pemprofilan selanjutnya atau serangan susulan.

Untuk menggalakkan muat turun, penyerang juga mengeksploitasi mekanisme kepercayaan pada pasaran pemalam.

Banyak sambungan palsu disokong dengan beratus-ratus ulasan lima bintang palsu, jauh melebihi apa yang dijangkakan berdasarkan pemasangan pengguna sebenar.

Koi menemui tanda-tanda yang menunjuk kepada pelaku ancaman berbahasa Rusia, termasuk komen berbahasa Rusia yang dibenamkan dalam kod sambungan dan metadata yang diambil daripada pelayan arahan yang digunakan dalam operasi itu. 

Walaupun atribusi kekal tentatif, penyelidik Koi percaya penunjuk ini mencadangkan kumpulan yang teratur dan mahir dari segi teknikal.

Skala dan kecanggihan kempen menimbulkan ancaman besar kepada pengguna kripto.

Dengan merampas sambungan penyemak imbas, alat yang biasa dipercayai di kalangan pedagang dan pelabur, penyerang boleh memintas pertahanan pancingan data tradisional dan mendapat akses terus kepada dompet.

Memandangkan sambungan ini selalunya beroperasi dengan kebenaran yang tinggi, ia boleh menjejaskan akaun mangsa tanpa mereka dapat mengesannya sehingga terlambat.

Taktik kuno

Kempen seperti ini menggariskan risiko yang dihadapi oleh pengguna kripto runcit, terutamanya apabila penggunaan mata wang kripto meningkat dan interaksi dompet berasaskan penyemak imbas menjadi lebih biasa. 

Menurut tinjauan NASAA, penipuan berkaitan kripto dan penipuan berasaskan media sosial kekal antara ancaman utama kepada pelabur pada tahun 2025.

Sejak beberapa tahun kebelakangan ini, sambungan penyemak imbas berniat jahat telah menjadi alat yang menonjol dalam senjata penjenayah siber, dengan insiden muncul di seluruh penyemak imbas lain juga.

Sebagai contoh, pada bulan Mac, versi terjejas alat proksi Chrome SwitchyOmega didapati mencuri kunci peribadi daripada dompet kripto selepas serangan pancingan data membolehkan suntikan kod berniat jahat. 

Satu lagi sambungan Chrome berniat jahat yang digelar "Bull Checker" telah dibenderakan oleh DEX Musytari yang berpangkalan di Solana tahun lepas. Sambungan itu mengalirkan dompet pengguna dengan mengubah suai muatan transaksi.

Taktik serupa juga telah digunakan dalam kempen terdahulu yang melibatkan versi palsu apl Ledger Live dan alat dagangan Aggr.

Sesetengah sambungan menggesa pengguna memasukkan frasa benih mereka semasa persediaan atau secara rahsia mengumpul kuki penyemak imbas, yang kemudiannya digunakan untuk membina semula kata laluan dan mengakses akaun kripto.