Криптоджекинг в Firefox: Более 40 вредоносных расширений крадут ключи от Криптокошельков

information security

Крупная кампания по распространению вредоносных расширений для браузера Firefox, нацеленных на кражу учетных данных криптовалютных кошельков, вскрыта исследователями кибербезопасности  Koi Security.

Описание

Более 40 поддельных дополнений, маскирующихся под легитимные инструменты от ведущих платформ вроде Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox, годами незаметно опустошали цифровые кошельки пользователей. Эксперты компании Koi Security подтверждают, что кампания активна как минимум с апреля 2025 года, причем новые зараженные расширения появлялись в официальном магазине Mozilla Add-ons буквально на прошлой неделе. Это свидетельствует о том, что злоумышленники не только продолжают операцию, но и адаптируют ее под механизмы защиты.

Угроза реализуется через изощренную схему социальной инженерии. Расширения-имитаторы не просто копируют дизайн и функционал оригиналов, но и искусственно накручивают репутацию: сотни фальшивых пятизвездочных отзывов создают иллюзию массового одобрения, что резко повышает доверие неосторожных пользователей. Особую опасность представляет техника "ядовитого клонирования": злоумышленники копируют открытый исходный код официальных расширений, встраивая в него скрытые вредоносные модули. Таким образом, расширение ведет себя ожидаемо, параллельно перехватывая seed-фразы, приватные ключи и пароли при их вводе на сайтах криптобирж и кошельков.

Собранные данные мгновенно передаются на удаленные серверы злоумышленников вместе с IP-адресом жертвы - вероятно, для последующего таргетирования или отслеживания транзакций. Анализ инфраструктуры атаки выявил тревожные детали: часть вредоносных дополнений до сих пор доступна для загрузки в магазине Firefox, несмотря на публикацию отчета. Исследователи связывают кампанию с русскоязычными хакерскими группами на основе косвенных улик - русскоязычных комментариев в коде и метаданных PDF-документа, обнаруженного на командном сервере. Хотя атрибуция остается предварительной, географическая привязка подчеркивает глобальность угрозы.

Эксперты Koi Security подчеркивают: проблема выходит далеко за рамки индивидуальных пользователей. Браузерные расширения обладают высочайшим уровнем привилегий в системе, что превращает их в идеальный инструмент для целевых атак на корпоративные среды, где сотрудники работают с криптоактивами. Традиционные меры безопасности зачастую игнорируют этот вектор, сосредотачиваясь на классическом вредоносном ПО. При этом автоматическое обновление расширений позволяет злоумышленникам модифицировать код уже после установки, обходя разовые проверки.

Финал кампании подчеркивает системный кризис доверия в экосистеме дополнений. Пользователи привыкли воспринимать расширения как "безобидные инструменты", а не полноценное ПО с доступом к критическим данным. Маркетплейсы же не обеспечивают должную верификацию кода, полагаясь на автоматические проверки и отзывы. Koi Security, чья платформа специализируется на сканировании угроз в открытых репозиториях и магазинах, призывает корпоративный сектор к срочному пересмотру подходов: "Эпоха бесконтрольного использования непроверенного стороннего кода с максимальными привилегиями подходит к концу". Для индивидуальных пользователей совет прост - перепроверяйте каждое расширение через официальные сайты проектов, а не только через магазин Firefox. Удалите все непонятные или дублирующие функционал дополнения - ваша seed-фраза не должна становиться строкой в чужой базе данных. Остается надеяться, что публикация отчета ускорит очистку магазина, но главный щит - всегда ваша осведомленность. В мире, где браузер стал финансовым терминалом, его безопасность не терпит компромиссов.

Индикаторы компрометации

Domains

  • allextdev.world
  • avalancheproject.digital
  • exodlinkbase.digital
  • suirokboys.digital

Firefox extension

  • bitget-by-addon
  • bitget-by-addons
  • bitget-extension
  • btc-wallet
  • coinbasewallet
  • developer-trust
  • ethereum-wallet
  • ethereum-wallet-crypto
  • eth-for-edition
  • eth-wallet
  • filfox
  • filfox-wallet
  • fil-project
  • is-a-block-explorer
  • keplr-wallet
  • leap-wallet
  • metamask-addons
  • metamask-crypto-official
  • metamaskext
  • metamask-for-firefox
  • metamask-for-wallet
  • metamask-the-extension
  • mew-wallet-ethereum-defi-web3
  • mymonero-wallet
  • official-metamask
  • official-metamask-wallet
  • okx-add
  • okx-addons
  • okx-wallet-extension
  • okx-wallet-extension1
  • phantom-ext-off
  • phantom-wallet-extension
  • trust-app
  • trust-application
  • trust-bestwallet
  • trust-cryp
  • trust-developer
  • trust-extension-wallet
  • trust-for-mozilla
  • trust-wallet-mozilla-add
  • wallet-for-bitcoin
  • wallet-for-trusr-crypto-wallet
  • wallet-for-trust
  • wallet-metamask-crypto-wallet
Комментарии: 0