В официальном магазине расширений для Firefox нашли более 40 аддонов, которые выдавали себя за популярные криптовалютные кошельки, а на самом деле похищали данные кошельков и конфиденциальную информацию жертв.

Обнаружившие эту кампанию специалисты Koi security пишут, что некоторые расширения маскировались под кошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Все они содержали вредоносный код, который передавал украденную информацию на серверы, контролируемые злоумышленниками.

Фальшивые версии MetaMask

По словам исследователей, многие из этих аддонов представляют собой клоны опенсорсных версий настоящих кошельков, но с добавлением вредоносной логики. В частности, в их коде содержатся лиснеры событий input и click, которые отслеживают ввод конфиденциальных данных.

Вредоносы проверяют строки ввода длиной более 30 символов, чтобы найти возможные ключи кошельков и seed-фразы, а затем передают данные своим операторам. При этом диалоги ошибок скрыты от глаз пользователей — значение прозрачности установлено на ноль (opacity: 0) для всех элементов, которые могли бы предупредить жертву о происходящем.

Специалисты полагают, что эта кампания активна как минимум с апреля 2025 года, и новые вредоносные расширения постоянно добавляются в магазин Firefox (самые новые появились на прошлой неделе).

Чтобы добиться доверия пользователей злоумышленники используют логотипы реальных брендов, под которые маскируются их расширения. Кроме того, многие аддоны имеют сотни фальшивых отзывов с пятью звездами, причем их количество превышает число установок.

Стоит заметить, что отзывов с одной звездой тоже немало, и в основном в них сообщается о мошенничестве. Вероятно, они написаны пользователями, которые уже лишились своей криптовалюты.

Эксперты Koi Security уведомил Mozilla об этой кампании, но на момент публикации отчета исследователей многие вредоносные аддоны были по-прежнему доступны для загрузки.

Интересно, что совсем недавно разработчики Mozilla представили новую систему раннего обнаружения аддонов, связанных с криптовалютным мошенничеством. Она создает профили риска для каждого представленного в магазине кошелька-расширения и автоматически предупреждает о рисках, если достигнут заданный порог.

Эти предупреждения должны побуждать людей, которые занимаются проверкой аддонов, более внимательно присмотреться к конкретным расширениям, чтобы удалить малварь из магазина, прежде чем она будет использована для опустошения кошельков пользователей.

В Mozilla сообщили СМИ, что им известно об этой вредоносной активности, и малварь уже удаляют.

«Нам известно о попытках злоупотребления экосистемой дополнений Firefox для распространения вредоносных расширений для кражи криптовалюты. Мы улучшили процессы и инструменты, чтобы быстрее находить и удалять такие дополнения, и уже предприняли соответствующие шаги. Недавно мы опубликовали пост в блоге, где рассказали об этой угрозе и о том, как боремся с ней, чтобы защищать пользователей Firefox, — заявили представители организации. — В отчете Koi Security описана лишь часть более масштабной проблемы. Команда модерации Mozilla удалила многие из упомянутых там расширений еще до публикации отчета, наряду с десятками других, которые были добавлены в последнее время. Сейчас мы проверяем оставшиеся дополнения, перечисленные в отчете, продолжая работать над защитой пользователей».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 2 комментария к записи Более 40 расширений для Firefox воруют криптовалюту
    Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии