Десятки поддельных расширений для кошельков заполонили магазин Firefox, чтобы выкачать криптовалюту

Gurd 11/07/2025 0
Firefox-headpic

Более 40 поддельных расширений в официальном магазине дополнений Firefox выдают себя за популярные криптовалютные кошельки от доверенных поставщиков, что позволяет красть учетные данные кошельков и конфиденциальные данные.

Некоторые расширения выдают себя за кошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero и содержат вредоносный код, который отправляет украденную информацию на подконтрольные злоумышленникам серверы.

ext2

Поддельные расширения кошелька в магазине дополнений Firefox
Источник: BleepingComputer

Исследователи из Koi Security обнаружили опасные расширения, а также доказательства, указывающие на то, что за кампанией стоит русскоязычная группа злоумышленников.

В отчете , предоставленном BleepingComputer, исследователи утверждают, что многие из этих дополнений для браузера являются клонами версий легитимных кошельков с открытым исходным кодом, в которые добавлена ​​вредоносная логика.

Koi Security приводит примеры прослушивателей событий «ввода» и «щелчка» в коде, которые отслеживают ввод конфиденциальных данных жертвой.

1

Вредоносные фрагменты кода в расширениях
Источник: Koi Security

Код проверяет входные строки, длина которых превышает 30 символов, чтобы отфильтровать реалистичные ключи кошелька/семенные фразы, а затем передает данные злоумышленникам.

Диалоги об ошибках скрыты от пользователя путем установки непрозрачности на ноль для любых элементов, которые могут предупредить пользователя об активности.

Seed-фразы (фразы восстановления/мнемонические фразы) — это главные ключи, обычно состоящие из нескольких слов, позволяющие пользователям восстанавливать или переносить кошельки на новые устройства.

Получив чужую сид-фразу, можно украсть все криптовалютные активы из кошелька. Кража выглядит как законная транзакция и необратима.

Кампания активна как минимум с апреля, и новые расширения, по всей видимости, постоянно добавляются в магазин Firefox. Исследователи утверждают, что самые новые вредоносные записи появились на прошлой неделе.

Чтобы завоевать доверие, мошенники используют настоящие логотипы брендов, за которые они себя выдают, а многие расширения имеют сотни поддельных отзывов с пятью звёздами. Некоторые из них также имеют большое количество отзывов с одной звёздой, сообщающих о мошенничестве, вероятно, от пользователей, потерявших свою криптовалюту.

ext

Поддельные расширения Metamask в магазине Firefox
Источник: BleepingComputer

Хотя большинство отзывов пользователей, очевидно, поддельные (они намного превышают количество установок), многие пользователи, не обращающие внимания на детали, все равно могут быть обмануты и установить их, рискуя тем самым украсть свои исходные фразы.

Mozilla разработала систему раннего обнаружения расширений для мошенничества с криптовалютами . Она использует автоматизированные индикаторы для оценки уровня риска. При достижении порогового значения специалисты по проверке анализируют отправленное сообщение и блокируют его, если оно вредоносное.

Koi Security сообщила BleepingComputer, что они сообщили о результатах в магазин Firefox, используя официальный инструмент отчетности, однако на момент написания статьи поддельные расширения по-прежнему были доступны.

BleepingComputer обратился к Mozilla за комментарием по этому вопросу, и представитель компании прислал нам следующее:

Нам известно о попытках взлома экосистемы дополнений Firefox с помощью вредоносных расширений для кражи криптовалюты. Благодаря усовершенствованным инструментам и процессам мы приняли меры для быстрого выявления и удаления таких дополнений. Недавно мы опубликовали запись в блоге, посвященную этой угрозе и нашим мерам по её устранению для дальнейшей защиты пользователей Firefox.

В отчёте Koi Security подробно описывается часть этой более широкой тенденции. Многие из упомянутых в отчёте расширений уже были удалены командой Mozilla по проверке дополнений до публикации, как и десятки других, поступивших в последнее время. Мы находимся в процессе проверки оставшихся нескольких обнаруженных дополнений в рамках наших постоянных усилий по защите пользователей.

Обновление 7/3 — Добавлен комментарий Mozilla

About The Author

Gurd

See author's posts

Post Views: 6

Больше историй

Hundreds of Wordpress Websites Hacked By VexTrio Viper Group to Run Massive TDS Services

Масштабная вредоносная кампания через WordPress: как VexTrio использует взломанные сайты для атак

Gurd 11/07/2025 0
IMG_1373

WinRAR устранил опасную уязвимость CVE-2025-6218

Gurd 11/07/2025 0
articleshow

Маск и Трамп начали войну в соцсетях: что произошло и какие будут последствия

Gurd 11/07/2025 0

Добавить комментарий

Возможно, вы пропустили

aa50e1afc173c190f3126a1ab9449e66 (1)

F6 назвала главные киберугрозы 2025 года — вышел подробный анализ хакерских групп, атакующих Россию и СНГ

Gurd 12/07/2025 0
scale_1200

Гениальный подросток взломал Илона Маска и кошмарил людей по всему миру. Кто он такой и как за ним охотилась вся Европа?

Gurd 12/07/2025 0
scale_1200

Простой пароль «123456» чат-бота ИИ рисковал раскрыть личные данные миллионов соискателей работы в McDonald’s

Gurd 12/07/2025 0
73151_w

Биткоин-призраки вернулись: два кошелька с 20 000 BTC совершили необъяснимый перевод

Gurd 12/07/2025 0
cyber-hacker

Топ-5 хакерских группировок мира в 2025 году: кто правит киберпространством?

Gurd 12/07/2025 0