Специалисты по кибербезопасности из компании Koi Security выявили масштабную кампанию киберпреступников, направленную на кражу криптовалютных активов пользователей Firefox. Более 40 вредоносных расширений были обнаружены в официальном магазине Mozilla, маскируясь под популярные криптовалютные кошельки и собирая конфиденциальные данные жертв.
Техника маскировки под известные криптокошельки
Злоумышленники проявили особую изобретательность, создавая поддельные версии расширений для самых популярных криптовалютных кошельков. Среди скомпрометированных брендов оказались Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Каждое из этих расширений содержало специально разработанный вредоносный код, предназначенный для перехвата и передачи украденной информации на серверы, контролируемые киберпреступниками.
Особенностью данной атаки стало использование открытого исходного кода легитимных кошельков в качестве основы для создания вредоносных клонов. Это позволило злоумышленникам создать практически неотличимые от оригинала расширения, добавив в них скрытую вредоносную функциональность.
Механизм работы вредоносного кода
Техническая реализация атаки демонстрирует высокий уровень подготовки киберпреступников. Вредоносные расширения используют специальные обработчики событий input и click, которые непрерывно отслеживают пользовательский ввод в поисках конфиденциальных данных.
Алгоритм работы малвари включает анализ введенных строк длиной более 30 символов, что позволяет идентифицировать потенциальные приватные ключи кошельков и seed-фразы. После обнаружения таких данных происходит их немедленная передача операторам вредоносной кампании.
Для сокрытия своей деятельности разработчики малвари применили изощренную технику маскировки. Все диалоги ошибок и предупреждения скрыты от пользователей путем установки значения прозрачности на ноль (opacity: 0), что делает невозможным визуальное обнаружение подозрительной активности.
Масштабы и продолжительность кампании
Исследование показало, что данная вредоносная кампания активна с апреля 2025 года, при этом злоумышленники постоянно пополняют магазин Firefox новыми поддельными расширениями. Самые свежие образцы малвари были добавлены на прошлой неделе, что свидетельствует о непрерывном характере атаки.
Для повышения доверия пользователей киберпреступники используют несколько социальных инженерных приемов. Помимо копирования официальных логотипов известных брендов, многие расширения имеют сотни фальшивых положительных отзывов, причем их количество часто превышает реальное число установок.
Реакция Mozilla и новые меры безопасности
После уведомления от экспертов Koi Security компания Mozilla приняла экстренные меры по устранению угрозы. Представители организации подтвердили осведомленность о проблеме и заявили о начале процесса удаления вредоносных расширений.
Примечательно, что незадолго до обнаружения этой кампании Mozilla представила новую систему раннего обнаружения аддонов, связанных с криптовалютным мошенничеством. Система создает профили риска для каждого расширения-кошелька и автоматически предупреждает модераторов о потенциальных угрозах при достижении определенного порога подозрительности.
Данный инцидент подчеркивает критическую важность тщательной проверки расширений браузера перед их установкой, особенно тех, которые работают с криптовалютными активами. Пользователям рекомендуется загружать расширения только из официальных источников, внимательно изучать отзывы и проверять подлинность разработчика перед установкой любых аддонов, связанных с управлением цифровыми активами.