Поддельные криптокошельки массово проникают в магазин Firefox Add-ons и крадут средства пользователей

Более 40 поддельных расширений для Firefox в официальном магазине Firefox Add-ons маскируются под популярные криптовалютные кошельки от известных сервисов, чтобы похищать данные пользователей — в том числе фразы восстановления и другие конфиденциальные сведения.

Некоторые из этих расширений выдают себя за кошельки от Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero, и содержат вредоносный код, отправляющий украденную информацию на сервера, контролируемые злоумышленниками.

Исследователи из компании Koi Security обнаружили эти опасные расширения. По их данным, многие расширения являются модифицированными копиями открытого кода настоящих кошельков, в которые внедрен вредоносный функционал. Например, добавлены обработчики событий input и click, отслеживающие ввод данных — в частности, сид-фраз.

Фрагменты вредоносного кода показывают, что расширения отслеживают строки длиной более 30 символов, предполагая, что это сид-фразы или ключи. Эти данные немедленно пересылаются на сервер злоумышленников.

Чтобы не вызвать подозрений, всплывающие окна об ошибках скрываются: их прозрачность устанавливается на ноль, и пользователь не видит никаких предупреждений.

Сид-фраза — это главный ключ от криптокошелька. Потеря фразы дает полную возможность похитить все средства. При этом кража выглядит как обычная транзакция и не может быть отменена.

Атака длится как минимум с апреля, и, по словам исследователей, новые вредоносные расширения добавляются в магазин до сих пор. Некоторые из них были загружены всего неделю назад.

Чтобы вызвать доверие, злоумышленники используют официальные логотипы популярных брендов, а также добавляют сотни поддельных отзывов в пять звезд. Впрочем, есть и множество отзывов с одной звездой, где пользователи жалуются на мошенничество — вероятно, уже потеряв свои средства.

Хотя число отзывов часто превышает количество установок, невнимательные пользователи могут легко попасться и установить поддельное расширение.

Mozilla заявляет, что работает над системой раннего обнаружения криптомошеннических расширений. Система сначала автоматически оценивает риск, а затем, при достижении определенного порога, заявку проверяет модератор вручную и блокирует в случае выявления угрозы.

Koi Security сообщили, что подали жалобы через официальный инструмент Firefox Add-ons, однако на момент публикации многие вредоносные расширения по-прежнему доступны в магазине.

Mozilla так прокомментировала данную ситуацию:

Мы знаем о попытках злоумышленников использовать экосистему расширений Firefox для распространения вредоносных дополнений, крадущих криптовалюту. Мы уже улучшили инструменты и процессы для быстрого обнаружения и удаления таких расширений. Недавно мы опубликовали блог о данной угрозе и наших действиях по защите пользователей Firefox.

В отчете Koi Security описана лишь часть общей тенденции. Многие упомянутые расширения уже были удалены нашей командой до публикации отчета, как и десятки других, появившихся недавно. Мы продолжаем проверку оставшихся дополнений в рамках нашей постоянной работы по обеспечению безопасности пользователей.