Предупреждение: в настоящее время существует более 40 поддельных расширений Firefox, которые крадут криптовалютные кошельки.

Обнаружена крупномасштабная продвинутая вредоносная кампания, связанная с десятками поддельных расширений для браузера Firefox, направленная на кражу информации о криптовалютных кошельках пользователей.

Согласно отчету группы по исследованию безопасности Koi Security, было выявлено как минимум 40 вредоносных утилит, маскирующихся под такие известные кошельки, как Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox.

Эта кампания работает тихо с как минимум апреля 2025 года и все еще продолжается. Многие вредоносные расширения по-прежнему появляются в магазине дополнений Firefox по состоянию на прошлую неделю. Эти расширения работают, крадя данные для доступа к криптовалютным кошелькам напрямую с веб-сайтов, которые посещают пользователи, а затем отправляют данные на сервер, контролируемый злоумышленником. Кроме того, они собирают внешний IP-адрес жертвы, что может быть направлено на отслеживание или более глубокие атаки.

Эти утилиты разработаны для введения пользователей в заблуждение с помощью распространенных приемов создания доверия, таких как поддельные 5-звездочные отзывы, интерфейс и название, идентичные официальной утилите, что делает пользователей легкими жертвами путаницы. В некоторых случаях злоумышленники скопировали открытый исходный код оригинальной утилиты, добавив всего лишь несколько строк вредоносного кода для кражи данных, тем самым сохраняя прежний пользовательский опыт, чтобы избежать подозрений.

Koi Security сообщила, что эта кампания может быть связана с группой, говорящей на русском языке, основываясь на фрагментах кода с комментариями на русском языке и метаданных в PDF-документе, полученном с управляющего сервера (C2). Однако группа исследователей отмечает, что окончательных выводов о вине пока не сделано.

Рекомендации от Koi Security:

• Устанавливайте только расширения от проверенных разработчиков.
• Не стоит полностью доверять оценкам и высоким рейтингам в магазинах приложений.
• Создание списка белых услуг, разрешенных для использования в организации.
• Обеспечьте непрерывный мониторинг, поскольку утилита может обновить вредоносное ПО после установки.

Koi Security считает, что управление расширениями браузера, которые имеют глубокий доступ к системе, является аспектом кибербезопасности, который долгое время игнорировался. Инструменты Koi в настоящее время используются крупными корпорациями, финансовыми учреждениями и технологическими компаниями для проверки и контроля рисков, связанных с расширениями браузера и открытым исходным кодом на таких платформах, как Firefox, Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub…

Хан Тин