Kötü amaçlı Firefox uzantıları, kripto çalmak için MetaMask ve Coinbase'i taklit ediyor

Siber güvenlik firması Koi Security'deki araştırmacılar, MetaMask, Coinbase ve OKX gibi popüler platformları taklit ederek kripto para cüzdanı kimlik bilgilerini çalmak için tasarlanmış 40'tan fazla sahte Firefox uzantısını tespit etti.

Güvenlik firmasının yakın tarihli bir raporuna göre, yaygın olarak kullanılan açık kaynaklı bir tarayıcı olan Firefox kullanıcıları tarafından tutulan kripto para varlıkları risk altında.

En az Nisan 2025'ten beri aktif olan büyük ölçekli bir kampanya, Mozilla Eklentileri mağazasında hala mevcut olan kötü amaçlı uzantılardan yararlanıyor ve tarayıcının eklenti inceleme sürecindeki önemli boşlukları vurguluyor.

Koi Security, bu sahte uzantıların, kullanıcıları aldatmak için aynı adları, logoları ve markayı kullanarak meşru cüzdan tekliflerini endişe verici bir doğrulukla yansıttığı konusunda uyarıyor.

Çoğu durumda, uzantılar, normal bir eklenti olarak işlev görürken kripto para birimlerini kaydırmak için gizlice eklenen kötü amaçlı kodlarla açık kaynaklı cüzdanların kodunu kopyalar.

Sahte Firefox uzantıları tarafından taklit edilen markalardan bazıları MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet ve Filfox'tur.

Bu yılın başlarında OKX, Firefox mağazasında listelenen ve kurbanların cüzdanlarından kimlik bilgilerini çalmak için borsanın köken eklentisini taklit eden sahte bir tarayıcı uzantısı konusunda uyardı.

Kötü amaçlı uzantı Firefox mağazasında hala yayında

Koi, kampanyayı paylaşılan taktikler, teknikler ve prosedürlerin yanı sıra çakışan altyapı aracılığıyla 40'tan fazla bireysel uzantıya bağladı. 

Rapora göre, kampanya şu anda "aktif, kalıcı ve gelişiyor" ve yayından kaldırma çabalarına rağmen uzantıların yeni sürümleri görünmeye devam ediyor. En son yüklemeler Haziran ayında tespit edildi.

Sahte uzantılar yüklendikten sonra sessizce cüzdan sırlarını çıkarır ve bunları saldırganlar tarafından kontrol edilen uzak bir sunucuya iletir. 

Kötü amaçlı yazılım, oturum açma kimlik bilgilerini çalmanın yanı sıra, potansiyel olarak daha fazla profil oluşturmaya veya takip saldırılarına yardımcı olmak için kullanıcıların harici IP adreslerini ele geçirir.

Saldırganlar, indirmeleri teşvik etmek için eklenti pazarındaki güven mekanizmalarından da yararlanır.

Sahte uzantıların çoğu, gerçek kullanıcı kurulumlarına dayalı olarak beklenenin çok ötesinde, yüzlerce sahte beş yıldızlı inceleme ile desteklenmektedir.

Koi, uzantı koduna gömülü Rusça yorumlar ve operasyonda kullanılan bir komut sunucusundan alınan meta veriler de dahil olmak üzere Rusça konuşan bir tehdit aktörüne işaret eden işaretler buldu. 

Atıf geçici kalsa da, Koi araştırmacıları bu göstergelerin iyi organize olmuş ve teknik olarak yetkin bir gruba işaret ettiğine inanıyor.

Kampanyanın ölçeği ve karmaşıklığı, kripto kullanıcıları için önemli bir tehdit oluşturuyor.

Saldırganlar, tüccarlar ve yatırımcılar arasında yaygın olarak güvenilen bir araç olan tarayıcı uzantılarını ele geçirerek geleneksel kimlik avı savunmalarını atlayabilir ve cüzdanlara doğrudan erişim elde edebilir.

Bu uzantılar genellikle yükseltilmiş izinlerle çalıştığından, bir kurbanın hesaplarını çok geç olana kadar tespit edemeden tehlikeye atabilirler.

Asırlık bir taktik

Bu gibi kampanyalar, özellikle kripto para biriminin benimsenmesi arttıkça ve tarayıcı tabanlı cüzdan etkileşimleri daha yaygın hale geldikçe, perakende kripto kullanıcılarının karşılaştığı risklerin altını çiziyor. 

Bir NASAA anketine göre, kripto ile ilgili dolandırıcılık ve sosyal medya tabanlı dolandırıcılıklar 2025 yılında yatırımcılar için en büyük tehditler arasında yer almaya devam ediyor.

Geçtiğimiz yıllarda, kötü amaçlı tarayıcı uzantıları, siber suçluların cephaneliğinde önemli bir araç haline geldi ve olaylar diğer tarayıcılarda da ortaya çıktı.

Örneğin, Mart ayında, Chrome proxy aracı SwitchyOmega'nın güvenliği ihlal edilmiş bir sürümünün, bir kimlik avı saldırısının kötü amaçlı kod enjeksiyonunu etkinleştirmesinin ardından kripto cüzdanlarından özel anahtarları çaldığı tespit edildi. 

"Bull Checker" adlı başka bir kötü amaçlı Chrome uzantısı, geçen yıl Solana tabanlı DEX Jupiter tarafından işaretlendi . Uzantı, işlem yüklerini değiştirerek kullanıcı cüzdanlarını boşalttı.

Benzer taktikler, Ledger Live uygulamasının sahte sürümlerini ve Aggr alım satım araçlarını içeren daha önceki kampanyalarda da kullanılmıştı.

Bazı uzantılar, kullanıcılardan kurulum sırasında tohum ifadelerini girmelerini veya daha sonra parolaları yeniden oluşturmak ve kripto hesaplarına erişmek için kullanılan tarayıcı çerezlerini gizlice toplamalarını ister.