Złośliwe rozszerzenia Firefoksa naśladują MetaMask, Coinbase, aby ukraść kryptowaluty

Badacze z firmy Koi Security zajmującej się cyberbezpieczeństwem oznaczyli ponad 40 fałszywych rozszerzeń Firefoksa zaprojektowanych w celu kradzieży portfel kryptowalut danych uwierzytelniających poprzez podszywanie się pod popularne platformy, takie jak MetaMask, Coinbase i OKX.

Aktywa kryptowalutowe posiadane przez użytkowników Firefoksa, powszechnie używanej przeglądarki typu open source, są zagrożone, zgodnie z niedawnym raportem firmy zajmującej się bezpieczeństwem.

Zakrojona na szeroką skalę kampania, aktywna co najmniej od kwietnia 2025 r., wykorzystuje złośliwe rozszerzenia nadal dostępne w sklepie Mozilla Add-ons, podkreślając znaczne luki w procesie weryfikacji wtyczek przeglądarki.

Koi Security ostrzega, że te fałszywe rozszerzenia odzwierciedlają legalne oferty portfeli z niepokojącą dokładnością, używając tych samych nazw, logo i brandingu, aby oszukać użytkowników.

W wielu przypadkach rozszerzenia replikują kod portfeli typu open source, ze złośliwym kodem dyskretnie wstawionym w celu przesuwania kryptowalut, działając jednocześnie jako normalna wtyczka.

Niektóre z marek, pod które podszywają się fałszywe rozszerzenia Firefoksa, to MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet i Filfox.

Na początku tego roku OKX ostrzegł przed fałszywym rozszerzeniem przeglądarki zamieszczonym w sklepie Firefox, które naśladowało wtyczkę Origins giełdy w celu kradzieży danych uwierzytelniających z portfeli ofiar.

Złośliwe rozszerzenie nadal działa w sklepie Firefoksa

Koi połączył kampanię z ponad 40 indywidualnymi rozszerzeniami poprzez wspólne taktyki, techniki i procedury, a także nakładającą się infrastrukturę.

Według raportu, kampania jest obecnie "aktywna, trwała i ewoluuje", a nowe wersje rozszerzeń nadal pojawiają się pomimo prób usunięcia. Najnowsze przesłane pliki zostały wykryte jeszcze w czerwcu.

Po zainstalowaniu fałszywe rozszerzenia po cichu wydobywają sekrety portfela i przesyłają je na zdalny serwer kontrolowany przez atakujących.

Oprócz kradzieży danych logowania, złośliwe oprogramowanie przechwytuje zewnętrzne adresy IP użytkowników, potencjalnie w celu pomocy w dalszym profilowaniu lub kolejnych atakach.

Aby zachęcić do pobierania, osoby atakujące wykorzystują również mechanizmy zaufania na rynku wtyczek.

Wiele fałszywych rozszerzeń jest wspieranych setkami fałszywych pięciogwiazdkowych recenzji, znacznie przekraczających to, czego można by się spodziewać na podstawie rzeczywistych instalacji użytkowników.

Koi znalazł znaki wskazujące na rosyjskojęzycznego cyberprzestępcę, w tym rosyjskojęzyczne komentarze osadzone w kodzie rozszerzenia i metadane pobrane z serwera dowodzenia użytego w operacji.

Chociaż atrybucja pozostaje niepewna, badacze Koi uważają, że wskaźniki te sugerują dobrze zorganizowaną i sprawną technicznie grupę.

Skala i wyrafinowanie kampanii stanowią poważne zagrożenie dla użytkowników kryptowalut.

Przejmując kontrolę nad rozszerzeniami przeglądarki, powszechnie zaufanym narzędziem wśród traderów i inwestorów, atakujący mogą ominąć tradycyjne zabezpieczenia przed phishingiem i uzyskać bezpośredni dostęp do portfeli.

Ponieważ te rozszerzenia często działają z podwyższonymi uprawnieniami, mogą naruszyć konta ofiary, nie będąc w stanie tego wykryć, dopóki nie będzie za późno.

Stara jak świat taktyka

Kampanie takie jak te podkreślają ryzyko, na jakie narażeni są detaliczni użytkownicy kryptowalut, zwłaszcza że adopcja kryptowalut rośnie, a interakcje z portfelem opartym na przeglądarce stają się coraz bardziej powszechne.

Według ankiety przeprowadzonej przez NASAA, oszustwa związane z kryptowalutami i oszustwa oparte na mediach społecznościowych pozostają jednymi z największych zagrożeń dla inwestorów w 2025 roku.

W ciągu ostatnich lat złośliwe rozszerzenia przeglądarki stały się ważnym narzędziem w arsenale cyberprzestępców, a incydenty pojawiają się również w innych przeglądarkach.

Na przykład w marcu wykryto, że zhakowana wersja narzędzia proxy Chrome SwitchyOmega kradnie klucze prywatne z portfele kryptowalut po tym, jak atak phishingowy umożliwił wstrzyknięcie złośliwego kodu.

Inne złośliwe rozszerzenie Chrome o nazwie "Bull Checker" zostało oznaczone w zeszłym roku przez DEX Jupiter oparty na Solanie. Rozszerzenie drenowało portfele użytkowników, modyfikując ładunki transakcji.

Podobna taktyka została również zastosowana we wcześniejszych kampaniach z udziałem fałszywych wersji aplikacji Ledger Live i narzędzi handlowych Aggr.

Niektóre rozszerzenia proszą użytkowników o wprowadzenie fraz seed podczas konfiguracji lub potajemnie zbierają pliki cookie przeglądarki, które są następnie wykorzystywane do rekonstrukcji haseł i uzyskiwania dostępu do kont kryptowalutowych.