В магазине дополнений Firefox появилась волна из 150 расширений, похищающих криптовалюту

Вредоносная кампания, получившая название «GreedyBear», проникла в магазин дополнений Mozilla, атакуя пользователей Firefox 150 вредоносными расширениями и похитив около 1 000 000 долларов у ничего не подозревающих жертв.

Кампания, обнаруженная и задокументированная Koi Security, выдает себя за расширения криптовалютных кошельков от известных платформ, таких как MetaMask, TronLink и Rabby.

Эти расширения изначально загружаются в безобидной форме, чтобы их принял Firefox, и собирают поддельные положительные отзывы.

На более позднем этапе издатели удаляют оригинальный брендинг и заменяют его новыми названиями и логотипами, а также внедряют вредоносный код для кражи учетных данных кошельков и IP-адресов пользователей.

Надстройка до того, как она станет вредоносной
Источник: Koi Security

Вредоносный код действует как кейлоггер, перехватывая вводимые данные из полей форм или всплывающих окон, которые затем отправляются на сервер злоумышленника.

«Вооруженные расширения собирают учетные данные кошелька непосредственно из полей ввода пользователя во всплывающем интерфейсе расширения и пересылают их на удаленный сервер, контролируемый группой», — объясняет Тувал Адмони из Koi Security .

«Во время инициализации они также передают внешний IP-адрес жертвы, вероятно, в целях отслеживания или таргетирования».

Операция по отмыванию криптовалюты дополняется десятками русскоязычных сайтов с пиратским программным обеспечением, которые способствуют распространению 500 различных исполняемых файлов вредоносных программ, а также сетью веб-сайтов, выдающих себя за Trezor, Jupiter Wallet и поддельные сервисы по восстановлению кошельков.

В случае вредоносных программ полезная нагрузка включает в себя обычные трояны, программы-похитители информации (LummaStealer) и даже программы-вымогатели.

Все эти сайты связаны с одним и тем же IP-адресом 185.208.156.66, который служит центром управления и контроля (C2) для операции GreedyBear.

Поддельный сайт Jupiter Wallet
Источник: Koi Security

Компания Koi Security сообщила о своих выводах компании Mozilla, и подозрительные расширения были удалены из магазина дополнений Firefox.

Однако его широкий масштаб и очевидная простота реализации наглядно демонстрируют, как ИИ может помочь киберпреступникам создавать масштабные схемы и быстро восстанавливаться после тотальных остановок.

«Наш анализ кода кампании выявил явные признаки артефактов, созданных ИИ», — поясняется в отчете.

«Это позволяет злоумышленникам быстрее и проще масштабировать операции, диверсифицировать полезную нагрузку и избегать обнаружения».

Предыдущая масштабная атака на магазин Firefox произошла в прошлом месяце , в ней было задействовано более 40 поддельных расширений, выдававших себя за кошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero.

Примечательно, что эти мошеннические расширения все еще попадают в магазин Firefox, несмотря на то, что Mozilla в июне 2025 года внедрила систему для обнаружения дополнений, похищающих криптовалюту.

Koi Security также сообщает о признаках того, что операторы GreedyBear изучают возможность расширения своего присутствия в Chrome Web Store, поскольку они уже обнаружили вредоносное расширение Chrome под названием «Filecoin Wallet», которое использует ту же логику кражи данных и взаимодействует с тем же IP-адресом.

Чтобы свести к минимуму риск подобных угроз, всегда читайте многочисленные отзывы пользователей и проверяйте информацию о расширении и издателе перед установкой дополнений в свой браузер.

Официальные расширения кошелька вы можете найти на сайтах самих проектов, либо размещенных напрямую, либо ссылающихся на законные дополнения в интернет-магазинах.

BleepingComputer связался с Mozilla и Google по поводу этой кампании и их усилий по защите пользователей и обновит эту статью, если получит ответ.