Специалисты из компании Koi Security сообщили о масштабной вредоносной кампании, развернутой в магазине аддонов для браузера Firefox. По их данным, с апреля 2025 года неизвестные злоумышленники размещают поддельные версии популярных криптокошельков, замаскированные под легитимные расширения, чтобы получить доступ к цифровым активам пользователей.
На текущий момент выявлено 44 фейковых аддона, имитирующих такие сервисы, как Coinbase, MetaMask, Phantom, Exodus, MyMonero, Ethereum Wallet и другие. Вредоносный код внутри этих расширений предназначен для кражи сид-фраз и приватных ключей, с помощью которых осуществляется доступ к криптовалютным кошелькам.
Для отслеживания ввода конфиденциальных данных на сайтах злоумышленники используют механизмы слежения за действиями пользователя — в частности, события input и click. Собранная информация, включая IP-адрес жертвы, отправляется на удалённый сервер, предположительно для отслеживания активности или подготовки целевых атак.
Фальшивым расширениям придают видимость подлинности: они копируют логотипы оригиналов и получают завышенные рейтинги благодаря фиктивным положительным отзывам. В коде некоторых вредоносных аддонов также были найдены русскоязычные комментарии, что может указывать на предполагаемое происхождение части разработчиков.
Mozilla была уведомлена обо всех выявленных подделках, однако некоторые из них по-прежнему доступны для скачивания. Представители Firefox заверяют, что активно борются с подобными угрозами: компания внедрила систему автоматического анализа дополнений и оценки риска. При выявлении подозрительных аддонов специалисты вручную проверяют код и при необходимости блокируют вредоносные расширения.
На текущий момент выявлено 44 фейковых аддона, имитирующих такие сервисы, как Coinbase, MetaMask, Phantom, Exodus, MyMonero, Ethereum Wallet и другие. Вредоносный код внутри этих расширений предназначен для кражи сид-фраз и приватных ключей, с помощью которых осуществляется доступ к криптовалютным кошелькам.
Для отслеживания ввода конфиденциальных данных на сайтах злоумышленники используют механизмы слежения за действиями пользователя — в частности, события input и click. Собранная информация, включая IP-адрес жертвы, отправляется на удалённый сервер, предположительно для отслеживания активности или подготовки целевых атак.
Фальшивым расширениям придают видимость подлинности: они копируют логотипы оригиналов и получают завышенные рейтинги благодаря фиктивным положительным отзывам. В коде некоторых вредоносных аддонов также были найдены русскоязычные комментарии, что может указывать на предполагаемое происхождение части разработчиков.
Mozilla была уведомлена обо всех выявленных подделках, однако некоторые из них по-прежнему доступны для скачивания. Представители Firefox заверяют, что активно борются с подобными угрозами: компания внедрила систему автоматического анализа дополнений и оценки риска. При выявлении подозрительных аддонов специалисты вручную проверяют код и при необходимости блокируют вредоносные расширения.
