Кибербезопасностная компания Koi Security выявила крупномасштабную злонамеренную кампанию, нацеленную на пользователей криптовалюты через поддельные расширения для Firefox.
Кампания включает более 40 расширений, выдающих себя за широко используемые инструменты крипто-кошельков.
Это включает в себя Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox. После установки эти расширения незаметно крадут учетные данные кошелька и передают их на сервера, контролируемые злоумышленниками, что ставит активы пользователей под непосредственную угрозу.
Крипто-пользователи под угрозой
В своем последнем посте Koi Security раскрыла, что кампания активна как минимум с апреля 2025 года. На самом деле, новые мошеннические загрузки появились в магазине дополнений Mozilla всего на прошлой неделе, что указывает на то, что операция продолжается, адаптивна и настойчива.
Эти расширения передают внешние IP-адреса жертв в процессе инициализации, вероятно, для отслеживания или таргетирования, извлекая секреты кошелька непосредственно с целевых сайтов. Копируя рейтинги, отзывы и брендинг, злоумышленники делают свои расширения похожими на надежные, что в конечном итоге приводит к тому, что больше пользователей загружает их.
Многие из фальшивых расширений имели сотни поддельных положительных отзывов, превышающих их фактическую базу пользователей, что позволяло им казаться широко используемыми и надежными в экосистеме дополнений Mozilla.
В нескольких случаях было установлено, что злоумышленники клонировали реальные расширения кошельков с открытым исходным кодом и встраивали в них вредоносную логику, при этом сохраняя ожидаемую функциональность. Это делалось для избежания обнаружения и обеспечения бесперебойного пользовательского опыта, тактика, которая позволила продолжить кражу учетных данных без поднятия подозрений.
Расследование Koi Security проследило за общей инфраструктурой и тактикой, методами и процедурами (TTPs) кампании по расширениям и выявило скоординированную операцию, сосредоточенную на сборе учетных данных и отслеживании пользователей в криптоэкосистеме. Оно призвало пользователей Firefox немедленно проверить установленные расширения, удалить подозрительные инструменты и при возможности изменить учетные данные кошелька.
Компания также заявила, что активно сотрудничает с Mozilla для удаления идентифицированных вредоносных расширений и мониторинга дальнейших загрузок, связанных с этой кампанией.
Русские подсказки в коде кампании
Существуют доказательства того, что за кампанией может стоять угроза, говорящая на русском языке. Koi Security заявила, что нашла скрытые русскоязычные заметки в коде расширения и метаданных из PDF на контроллере, показывающие русский текст.
Эти подсказки не являются окончательным доказательством, но указывают на возможного русскоязычного актера, осуществляющего операцию.
Последний отчет появился через несколько месяцев после того, как была обнаружена потенциальная крипто-фишинговая схема, связанная с Россией, использующая поддельные ссылки на Zoom-встречи для кражи миллионов. Блокчейн-безопасная компания SlowMist проследила активность вредоносного ПО до сервера в Нидерландах, но обнаружила скрипты на русском языке в инструментах злоумышленников, что указывает на возможное участие русскоязычных операторов. Злоумышленники опустошили кошельки и конвертировали украденные активы в ETH на основных биржах.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Если у вас есть Крипто и вы используете Firefox, Хакеры нацелены на вас
Кибербезопасностная компания Koi Security выявила крупномасштабную злонамеренную кампанию, нацеленную на пользователей криптовалюты через поддельные расширения для Firefox.
Кампания включает более 40 расширений, выдающих себя за широко используемые инструменты крипто-кошельков.
Это включает в себя Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox. После установки эти расширения незаметно крадут учетные данные кошелька и передают их на сервера, контролируемые злоумышленниками, что ставит активы пользователей под непосредственную угрозу.
Крипто-пользователи под угрозой
В своем последнем посте Koi Security раскрыла, что кампания активна как минимум с апреля 2025 года. На самом деле, новые мошеннические загрузки появились в магазине дополнений Mozilla всего на прошлой неделе, что указывает на то, что операция продолжается, адаптивна и настойчива.
Эти расширения передают внешние IP-адреса жертв в процессе инициализации, вероятно, для отслеживания или таргетирования, извлекая секреты кошелька непосредственно с целевых сайтов. Копируя рейтинги, отзывы и брендинг, злоумышленники делают свои расширения похожими на надежные, что в конечном итоге приводит к тому, что больше пользователей загружает их.
Многие из фальшивых расширений имели сотни поддельных положительных отзывов, превышающих их фактическую базу пользователей, что позволяло им казаться широко используемыми и надежными в экосистеме дополнений Mozilla.
В нескольких случаях было установлено, что злоумышленники клонировали реальные расширения кошельков с открытым исходным кодом и встраивали в них вредоносную логику, при этом сохраняя ожидаемую функциональность. Это делалось для избежания обнаружения и обеспечения бесперебойного пользовательского опыта, тактика, которая позволила продолжить кражу учетных данных без поднятия подозрений.
Расследование Koi Security проследило за общей инфраструктурой и тактикой, методами и процедурами (TTPs) кампании по расширениям и выявило скоординированную операцию, сосредоточенную на сборе учетных данных и отслеживании пользователей в криптоэкосистеме. Оно призвало пользователей Firefox немедленно проверить установленные расширения, удалить подозрительные инструменты и при возможности изменить учетные данные кошелька.
Компания также заявила, что активно сотрудничает с Mozilla для удаления идентифицированных вредоносных расширений и мониторинга дальнейших загрузок, связанных с этой кампанией.
Русские подсказки в коде кампании
Существуют доказательства того, что за кампанией может стоять угроза, говорящая на русском языке. Koi Security заявила, что нашла скрытые русскоязычные заметки в коде расширения и метаданных из PDF на контроллере, показывающие русский текст.
Эти подсказки не являются окончательным доказательством, но указывают на возможного русскоязычного актера, осуществляющего операцию.
Последний отчет появился через несколько месяцев после того, как была обнаружена потенциальная крипто-фишинговая схема, связанная с Россией, использующая поддельные ссылки на Zoom-встречи для кражи миллионов. Блокчейн-безопасная компания SlowMist проследила активность вредоносного ПО до сервера в Нидерландах, но обнаружила скрипты на русском языке в инструментах злоумышленников, что указывает на возможное участие русскоязычных операторов. Злоумышленники опустошили кошельки и конвертировали украденные активы в ETH на основных биржах.