В официальном магазине расширений для Firefox нашли более 40 аддонов, которые выдавали себя за популярные криптовалютные кошельки, а на самом деле похищали данные кошельков и конфиденциальную информацию жертв.
Обнаружившие эту кампанию специалисты Koi security пишут, что некоторые расширения маскировались под кошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Все они содержали вредоносный код, который передавал украденную информацию на серверы, контролируемые злоумышленниками.

По словам исследователей, многие из этих аддонов представляют собой клоны опенсорсных версий настоящих кошельков, но с добавлением вредоносной логики. В частности, в их коде содержатся лиснеры событий input и click, которые отслеживают ввод конфиденциальных данных.
Вредоносы проверяют строки ввода длиной более 30 символов, чтобы найти возможные ключи кошельков и seed-фразы, а затем передают данные своим операторам. При этом диалоги ошибок скрыты от глаз пользователей — значение прозрачности установлено на ноль (opacity: 0) для всех элементов, которые могли бы предупредить жертву о происходящем.
Специалисты полагают, что эта кампания активна как минимум с апреля 2025 года, и новые вредоносные расширения постоянно добавляются в магазин Firefox (самые новые появились на прошлой неделе).
Чтобы добиться доверия пользователей злоумышленники используют логотипы реальных брендов, под которые маскируются их расширения. Кроме того, многие аддоны имеют сотни фальшивых отзывов с пятью звездами, причем их количество превышает число установок.
Стоит заметить, что отзывов с одной звездой тоже немало, и в основном в них сообщается о мошенничестве. Вероятно, они написаны пользователями, которые уже лишились своей криптовалюты.
Эксперты Koi Security уведомил Mozilla об этой кампании, но на момент публикации отчета исследователей многие вредоносные аддоны были по-прежнему доступны для загрузки.
Интересно, что совсем недавно разработчики Mozilla представили новую систему раннего обнаружения аддонов, связанных с криптовалютным мошенничеством. Она создает профили риска для каждого представленного в магазине кошелька-расширения и автоматически предупреждает о рисках, если достигнут заданный порог.
Эти предупреждения должны побуждать людей, которые занимаются проверкой аддонов, более внимательно присмотреться к конкретным расширениям, чтобы удалить малварь из магазина, прежде чем она будет использована для опустошения кошельков пользователей.
В Mozilla сообщили СМИ, что им известно об этой вредоносной активности, и малварь уже удаляют.
«Нам известно о попытках злоупотребления экосистемой дополнений Firefox для распространения вредоносных расширений для кражи криптовалюты. Мы улучшили процессы и инструменты, чтобы быстрее находить и удалять такие дополнения, и уже предприняли соответствующие шаги. Недавно мы опубликовали пост в блоге, где рассказали об этой угрозе и о том, как боремся с ней, чтобы защищать пользователей Firefox, — заявили представители организации. — В отчете Koi Security описана лишь часть более масштабной проблемы. Команда модерации Mozilla удалила многие из упомянутых там расширений еще до публикации отчета, наряду с десятками других, которые были добавлены в последнее время. Сейчас мы проверяем оставшиеся дополнения, перечисленные в отчете, продолжая работать над защитой пользователей».