Новая угроза в сфере кибербезопасности
Согласно новому отчёту компании Koi Security, специализирующейся на кибербезопасности, была обнаружена масштабная кампания с использованием поддельных расширений для браузера Firefox. Эти расширения предназначены для кражи данных криптокошельков.
Подробности кампании
Исследователи выяснили, что более 40 расширений выдавали себя за популярные инструменты криптокошельков. Они позволяли злоумышленникам получать конфиденциальную информацию от ничего не подозревающих пользователей.
Эти дополнения были разработаны так, чтобы максимально напоминать легитимные приложения известных платформ, таких как MetaMask, Coinbase, Phantom, Trust Wallet, Exodus, OKX и других.
Что внутри поддельных расширений кошельков в Firefox?
Кампания, которая всё ещё активна, была впервые обнаружена ещё в апреле 2025 года. В своём отчёте, опубликованном в среду, Koi Security подтвердила, что поддельные расширения были загружены в магазин Firefox Add-ons совсем недавно, на прошлой неделе.
Некоторые из этих расширений всё ещё были доступны на момент публикации отчёта, что вызывает опасения по поводу продолжающейся угрозы для пользователей.
После установки эти дополнения незаметно собирали конфиденциальные данные, создавая прямые точки доступа для кражи активов пользователей в различных сетях блокчейна.
Угроза для пользователей криптовалют
Исследователи в области кибербезопасности говорят, что эта операция представляет особую угрозу из-за своей продолжительности, скрытности и технической сложности. Тот факт, что новые расширения загружаются даже сейчас, говорит о том, что кампания не только активна, но и настойчива, эволюционируя, чтобы избежать обнаружения.
Используя социальную инженерию и технический обман, злоумышленники нацелены на пользователей криптовалют.
Тактика, атрибуция и более широкие последствия для безопасности криптовалют
Чтобы завоевать доверие, многие поддельные расширения были снабжены сотнями пятизвёздочных рейтингов и положительных отзывов. Эти ложные сигналы легитимности, вероятно, убедили пользователей загрузить инструменты, не подозревая о мошенничестве.
Дизайн, брендинг и названия расширений также были очень похожи на официальные кошельки, что добавляло ещё один уровень обмана.
Исследователи Koi Security обнаружили несколько технических индикаторов, указывающих на потенциальную группу злоумышленников, говорящих на русском языке. Анализ расширений выявил комментарии на русском языке, встроенные в код, а документы, связанные с инфраструктурой управления, содержали метаданные на русском языке.
Хотя эти улики не являются окончательными, они соответствуют тактикам, наблюдаемым в предыдущих кампаниях, организованных лицами, осуществляющими угрозы, из Восточной Европы.
Масштаб и настойчивость операции указывают на организованные усилия. Koi Security подчеркнула, что это не единичный эксплойт, а развивающаяся тактика, которая может быть направлена на другие браузеры и криптоплатформы в будущем.
Рекомендации для пользователей
Отчёт рекомендует пользователям избегать загрузки расширений для браузера за пределами рекомендаций официальных поставщиков кошельков и дважды проверять информацию о разработчиках на страницах дополнений. Также рекомендуется проверять разрешения, запрашиваемые расширениями, и удалять любые инструменты, которые не были явно установлены или которые пользователи больше не узнают.
Не является инвестиционной рекомендацией.