В значительном открытии в области кибербезопасности Koi Security выявила масштабную кампанию, включающую более 40 вредоносных расширений Firefox, предназначенных для кражи учётных данных криптовалютных кошельков. Эти поддельные расширения, имитирующие доверенные инструменты кошельков, такие как Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget, Keplr, Ethereum Wallet и Filfox, действуют как минимум с апреля 2025 года и остаются постоянной угрозой. Это открытие подчёркивает растущую сложность кибератак, нацеленных на экосистему криптовалют, и срочную необходимость повышенной бдительности среди пользователей Firefox.
Механика вредоносной кампании
Вредоносные расширения тщательно разработаны, чтобы выглядеть легитимными, часто клонируя исходные коды настоящих расширений кошельков и внедряя шпионское ПО в кажущиеся безобидными файлы. После установки эти расширения извлекают конфиденциальные данные кошельков, такие как сид-фразы и приватные ключи, непосредственно с целевых веб-сайтов. Украденные данные затем передаются на удалённые серверы, контролируемые злоумышленниками, что позволяет им получать доступ к криптовалютным кошелькам пользователей и опустошать их.
Для повышения доверия к себе злоумышленники используют обманные тактики, включая искусственное завышение количества 5-звёздочных отзывов, иногда добавляя сотни поддельных отзывов, которые превышают фактическое количество установок расширений. Это создаёт иллюзию подлинности, обманывая ничего не подозревающих пользователей, заставляя их поверить, что расширения широко используются и заслуживают доверия. Продолжающийся характер кампании, с новыми расширениями, загруженными в магазин Firefox Add-ons ещё на прошлой неделе, указывает на то, что киберпреступники активно совершенствуют свой подход, чтобы избегать обнаружения.
| Аспект | Детали |
| Количество расширений | Более 40 |
| Целевые кошельки | Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget, Keplr, Ethereum Wallet, Filfox |
| Метод атаки | Извлечение учётных данных с веб-сайтов, отправка на серверы, контролируемые злоумышленниками |
| Обманные тактики | Поддельные 5-звёздочные отзывы, клонированный легитимный код с скрытыми вредоносными скриптами |
| Продолжительность кампании | Активна с апреля 2025 года, продолжается с недавними загрузками |
Влияние на пользователей криптовалют
Последствия установки этих вредоносных расширений серьёзны. Пользователи рискуют потерять все свои криптовалютные активы, поскольку украденные учётные данные позволяют злоумышленникам переводить средства на свои собственные кошельки. Учитывая необратимый характер транзакций в блокчейне, восстановление украденных активов практически невозможно. В прошлом году киберпреступники украли более $49426 миллионов с более чем 300,000 кошельков через подобные атаки по опустошению кошельков, что подчёркивает масштаб и влияние таких угроз.
Фокус кампании на популярных кошельках, таких как MetaMask и Coinbase, которые широко используются как новичками, так и опытными криптоинвесторами, увеличивает её потенциальный охват. Использование браузерных расширений как вектора атаки вызывает особую озабоченность, поскольку они часто воспринимаются как удобные инструменты для управления цифровыми активами. Этот инцидент служит суровым напоминанием о том, что даже кажущиеся заслуживающими доверия браузерные дополнения могут представлять значительные риски.
Ответ Mozilla и усилия по обнаружению
Mozilla предприняла активные шаги для борьбы с угрозой вредоносных расширений. Андреас Вагнер, менеджер по операциям дополнений Mozilla, заявил, что организация удалила сотни мошеннических расширений, включая поддельные криптокошельки, за последние несколько лет. В ответ на рост таких атак Mozilla внедрила новую систему, специально разработанную для обнаружения дополнений, опустошающих криптокошельки, в магазине Firefox Add-ons. Однако Вагнер признаёт сложность задачи, описывая её как «постоянную игру в кошки-мышки», поскольку злоумышленники постоянно адаптируются, чтобы обойти методы обнаружения.
Несмотря на эти усилия, продолжающийся характер кампании предполагает, что некоторые вредоносные расширения всё ещё могут быть доступны для загрузки, что подчёркивает необходимость осторожности пользователей при выборе браузерных дополнений.
Более широкий контекст криптовалютной безопасности
Этот инцидент является частью более широкой тенденции нарастающих киберугроз, нацеленных на экосистему криптовалют. По мере роста стоимости и принятия криптовалют, таких как Биткоин и Ethereum, киберпреступники всё чаще используют уязвимости в цифровых кошельках, биржах и связанных инструментах. Браузерные расширения, благодаря их прямому доступу к данным пользователей и взаимодействию с веб-сайтами, стали главной мишенью для таких атак.
Подозрения о связи кампании с русскоязычными злоумышленниками, основанные на комментариях на русском языке в вредоносном коде и метаданных с сервера управления, подчёркивают глобальный характер киберпреступности. Подобные атаки уже фиксировались ранее, например, предупреждение OKX в январе 2025 года о поддельных расширениях Firefox, имитирующих его кошелёк, что указывает на повторяющийся характер этой проблемы в криптовалютной сфере.
Рост числа фишинговых атак, вредоносных программ и тактик социальной инженерии, нацеленных на пользователей криптовалют, подчёркивает необходимость надёжных мер безопасности. Согласно Cointelegraph, фишинговые атаки в криптовалютной сфере часто используют доверенные платформы, что делает критически важным проверку подлинности используемых инструментов и сервисов.
Как пользователи могут защитить себя
Чтобы защитить свои цифровые активы, пользователям Firefox и держателям криптовалют рекомендуется следовать следующим лучшим практикам:
- Проверка источников расширений: Устанавливайте расширения только от проверенных издателей, желательно непосредственно с официального сайта поставщика кошелька. Например, проверяйте официальные сайты MetaMask или Coinbase для ссылок на их легитимные расширения.
- Скептицизм к отзывам: Не полагайтесь только на рейтинги или отзывы, поскольку они могут быть манипулированы. Проверяйте подлинность расширения через доверенные источники.
- Мониторинг поведения браузера: Следите за необычными действиями, такими как неожиданные всплывающие окна или несанкционированные обновления, которые могут указывать на вредоносное расширение.
- Использование белых списков: Используйте функции браузера или сторонние инструменты для создания белых списков, обеспечивая активность только доверенных расширений.
- Обновление программного обеспечения: Регулярно обновляйте Firefox и установленные расширения для устранения уязвимостей в безопасности.
- Безопасное хранение учётных данных кошелька: Храните сид-фразы и приватные ключи в оффлайне, предпочтительно в аппаратном кошельке, чтобы минимизировать риск онлайн-угроз.
| Совет по предотвращению | Описание |
| Проверка источников расширений | Устанавливайте только с официальных сайтов поставщиков кошельков |
| Скептицизм к отзывам | Проверяйте подлинность, так как поддельные отзывы могут вводить в заблуждение |
| Мониторинг поведения браузера | Следите за необычными действиями или обновлениями, указывающими на вредоносные расширения |
| Использование белых списков | Ограничивайте активные расширения только доверенными |
| Обновление программного обеспечения | Обновляйте браузер и расширения для устранения уязвимостей в безопасности |
Взгляд в будущее
Обнаружение более 40 вредоносных расширений Firefox, нацеленных на криптовалютные кошельки, служит важным сигналом тревоги для криптовалютного сообщества. Поскольку киберпреступники продолжают использовать доверенные платформы и инструменты, пользователи должны оставаться бдительными и проактивными в защите своих цифровых активов. Усилия Mozilla по улучшению систем обнаружения — это шаг в правильном направлении, но постоянный характер этих атак подчёркивает необходимость коллективных действий со стороны пользователей, разработчиков и экспертов по безопасности.
Экосистема криптовалют быстро развивается, и вместе с этим растёт сложность киберугроз. Применяя надёжные меры безопасности и оставаясь в курсе новых рисков, пользователи могут лучше защитить свои инвестиции в этом динамичном цифровом ландшафте.